如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。
本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留链接信息。

苏南大叔的cookie系列文章,到这里开始讲到cookie的安全问题。如果你的网站是https的话,那么强烈建议你启用cookiesecure属性。但是无论你的网站是不是https,但是都强烈建议你启用cookiehttponly。具体的启用方法,每个语言都不同,php启用httponly的方式,可以参见苏南大叔的相关文章。

httponly简述

httponly这个词非常的高大上,叱诧江湖很多年。只要是网络安全界,提起xsscookie,就必然提起对应的解决方案httponly。但是,httponly真的是啥效果,你知道嘛?这可就未必了。

撕去httponly的高大上的面纱,一句话进行描述的话,就是:httponlycookie,网页代码中的js无法获得相关信息。xss的必需语句,document.cookie是无法获得httponlycookie的。但是,服务器端是可以照常获得的。

实践一下代码

我们设置了2个cookie,一个是httponly的,另外一个不是。

<?php
header("Set-Cookie:only_no=这个没有设置only;",FALSE);
header("Set-Cookie:only=这个设置了only;httponly;",FALSE);
?>
<a href="javascript:alert(document.cookie)">document.cookie</a>

实验结果如下:

如何理解cookie的httponly属性 - httponly

如何理解cookie的httponly属性(图1-1)

我们可以看到,JavaScript使用document.cookie,只拿到了一个cookie值,就是没有使用only属性的这个。

总结

本篇内容不是讲xss的,只是讲述httponly的。在具体的实践中,xss是需要构造非常复杂的办法,然后最终执行document.cookie的。如果以后有机会,苏南大叔可以给大家讲讲xss实战。不过,这个有些黑客的范畴了。好吧,我们洗白一下,是网络安全的范畴。哈哈~~

更多有关cookie的精彩内容,请大家关注如下链接:https://newsn.net/tag/cookie/

  【cookie】秘籍文章入口,仅传授于有缘之人  cookie    httponly

欢迎转载传播本篇原创文章,转载请保留链接及作者信息。
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享。
转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议。
程序如此灵动~》下所有原创文章,如被用于商业用途,请您按规定支付稿费。

苏南大叔需要你的支持

打赏任意金额,发送截图到邮箱 shang@newsn.net ,可以领取精选回馈如下(任选其一):
  • 《前端视频教程大礼包》一套
  • 《wordpress精选皮肤》一套
  • 《dedecms织梦精选模板》一套
感谢您的打赏,让我更有动力,将更多精彩教程文章,呈现给大家!谢谢!

岁月静好

关注互联网发展,关注苏南大叔的《程序如此灵动~》博客
本文章来自:程序如此灵动~
博客地址为:https://newsn.net/
原文地址为:https://newsn.net/say/cookie-httponly.html
上一篇好文:php使用header设置cookie时的注意事项
下一篇好文:electron与jquery不得不说的故事

如果您转载了本文章,出于某种原因,并没有注明作者或者出处。
在这里,苏南大叔也表示理解和支持。因为苏南大叔深深地明白:
您会在合适的时机,合适的地方,给本博客一个外链。对吧?
您若开心,便是安好!岁月静好,但愿世界和平,没有纷争~