大家知道XSS***中很多都是爲了獲取用戶的cookie信息,採用最多的方式就是通過js設置src的方式把cookie傳輸到別的服務器。
那我們該怎麼防止js獲取cookie呢,這裏有一個簡單的辦法,以PHP爲例,我們在setcookie的時候很少寫後面的參數,基本上寫到日期就行了,其他走默認就好,看一下他的參數設置
bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string$domain [, bool $secure = false [, bool $httponly = false ]]]]]] )
後面的$httponly是幹嘛用的呢?他們其實是設置只在http下發送cookie,比如設置$httponly爲true,再用js獲取cookie的時候是獲取不到的,大家可以嘗試一下,雖然不是所有瀏覽器都支持,並且還有其他辦法獲取cookie,但是畢竟可以減少一部分安全漏洞。
歡迎大家討論!