加载中…
个人资料
秋虫
秋虫
  • 博客等级:
  • 博客积分:0
  • 博客访问:400,767
  • 关注人气:71
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
正文 字体大小:

Session Cookie without Secure flag set,该如何处理

(2013-10-10 15:11:32)
分类: 临时笔记
Session Cookie without Secure flag set
最近用了一款测试软件 Acunetix Web Vulnerability Scanner7.0  
提示网站有个漏洞  Session Cookie without Secure flag set  

以前没有用过 这个软件 不晓得怎么解决这个问题~~~请问一下怎么解决啊  
网站里面只用了session 没用cookie
分享到:


------解决方案--------------------------------------------------------
Session数据保存在服务器端, 但是每一个客户端都需要保存一个SessionID, SessionID保存在Cookies中, 关闭浏览器时过期.
在向服务器发送的HTTP请求中会包含SessionID, 服务器端根据SessionID获取获取此用户的Session信息.
cookie

 

 意思是:httponly设置为true则只能通过http操纵cookie,这样防止了javascript等脚本语言对cookie做修改,帮助我们有效的防止XSS攻击.

 


PHP中的设置 

 PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

 ----------------------------------------------------- 

 session.cookie_httponly = 

 ----------------------------------------------------- 

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启: 

 ----------------------------------------------------- 

 <?php ini_set("session.cookie_httponly", 1); 

 // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE); 

 ?> 

 ----------------------------------------------------- 

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为: 

 ------------------------------------------------------- 

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

 ------------------------------------------------------- 

 对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了: 

 ------------------------------------------------------------- 

 <?php header("Set-Cookie: hidden=value; httpOnly"); ?> 

 -------------------------------------------------------------

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有