大家知道XSS攻击中很多都是为了获取用户的cookie信息,采用最多的方式就是通过js设置src的方式把cookie传输到别的服务器。
那我们该怎么防止js获取cookie呢,这里有一个简单的办法,以PHP为例,我们在setcookie的时候很少写后面的参数,基本上写到日期就行了,其他走默认就好,看一下他的参数设置
bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string$domain [, bool $secure = false [, bool $httponly = false ]]]]]] )
后面的$httponly是干嘛用的呢?他们其实是设置只在http下发送cookie,比如设置$httponly为true,再用js获取cookie的时候是获取不到的,大家可以尝试一下,虽然不是所有浏览器都支持,并且还有其他办法获取cookie,但是毕竟可以减少一部分安全漏洞。 |
