网络优化

设置cookie的时候方式XSS攻击

2019-09-12 热度:195 ℃

  大家知道XSS攻击中很多都是为了获取用户的cookie信息,采用最多的方式就是通过js设置src的方式把cookie传输到别的服务器

        那我们该怎么防止js获取cookie呢,这里有一个简单的办法,以PHP为例,我们在setcookie的时候很少写后面的参数,基本上写到日期就行了,其他走默认就好,看一下他的参数设置

bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string$domain [, bool $secure = false [, bool $httponly = false ]]]]]] )


后面的$httponly是干嘛用的呢?他们其实是设置只在http下发送cookie,比如设置$httponly为true,再用js获取cookie的时候是获取不到的,大家可以尝试一下,虽然不是所有浏览器都支持,并且还有其他办法获取cookie,但是毕竟可以减少一部分安全漏洞。

分享给朋友:

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

将博CMS(JumboTCMS) V6代码审计总结

将博CMS(JumboTCMS) V6代码审计总结

鄙人学的软件测试专业,最近学校准备上这方面的课程了,于是想先找套ASP.NET开源CMS玩玩,百度了下,看到了将博CMS,人气还挺高的,跑到官网下载了6.0最新版的,NND,安装都安装不...

WAF指纹识别和XSS过滤器绕过技巧

WAF指纹识别和XSS过滤器绕过技巧

0x1 前言 之前在乌云drops上看到一篇绕过WAF跨站脚本过滤器的一些技巧,是从国外的一篇paper部分翻译过来的,可以说文章摘取了原文核心的代码部分,见Bypass XSS过滤的...

分析Discuz防注入函数绕过漏洞及修复补丁

分析Discuz防注入函数绕过漏洞及修复补丁

分析人:晴天小铸,Seay 分析时间:2013年03月20日 discuz介绍: Crossday Discuz! Board(以下简称 Discuz!,中国国家版权局著作权登记号...

Wordpress插件Front File Manager 0.1任意文件上传漏洞

Wordpress插件Front File Manager 0.1任意文件上传漏洞

标题: Wordpress front file manager 0.1 Arbitrary File Upload   作者: Adrien Thierry &...

服务器安全管理的四大重点

服务器安全管理的四大重点

    处事器虚拟化只需要较少的硬件成本就能运行多重应用法度圭臬和操作系统,能许可用户按照自扇缤罂焖俚髋湫碌某杀尽?墒钦庑┙媒菪砸驳贾率占和...

分析WordPress 3.8.2修復的cookie伪造漏洞

分析WordPress 3.8.2修復的cookie伪造漏洞

4月8日,wordpress發布了一個重要更新,在該次更新中,修復了一系列安全漏洞。其中最顯眼的就是cookie伪造漏洞(CVE -2014- 0166)。‍‍‍...

对于RootKit的一次假想渗透及防护

对于RootKit的一次假想渗透及防护

Abstract 虽然Open Source思想让Linux拥有了坚不可摧的代码,但后门也许就存在于不小心的一次鼠标点击,不管你是否相信,但安全问题影响到你的每一天。 白帽和黑帽如同...

easethink payment.php注入漏洞分析及解决方案

easethink payment.php注入漏洞分析及解决方案

漏洞作者:leehenwu 01漏洞分析   漏洞在payment.php文件   elseif($_REQUEST['act']==&...

iframe XSS安全威胁议题

iframe XSS安全威胁议题

Web应用程序的安全始终是一个重要的议题,因为网站是恶意攻击者的第一目标。黑客利用网站来传播他们的恶意软件、蠕虫、垃圾邮件及其它等等。OWASP概括了Web应用程序中最具危险的安全漏洞,...

请先 登录 再评论,若不是会员请先 注册