浏览模式: 普通 | 列表
8月, 2016 | 1

ASP设置Cookie的HttpOnly属性

[ 2016-08-31 10:13:35 | 作者: admin ]
为防止攻击者利用网站XSS漏洞获取网站cookie(如果管理员cookie被获取,攻击者有可能登录网站后台)。可以在cookie中增加httponly属性。

ASP实现方法如下:

当需要向浏览器写入Cookie时,利用Response.AddHeader代替Response.Cookies("X")="Y"
Response.AddHeader "Set-Cookie", "mycookie=1981; Path=/; HttpOnly"

关于httponly的说明,参见:
使用HttpOnly提升Cookie安全性 http://blog.csdn.net/zzzmmmkkk/article/details/10862949


cookie的过期
response.Cookies("mycookie")=""
...

阅读全文…

PHP设置Cookie的HTTPONLY属性

[ 2016-08-31 10:12:21 | 作者: admin ]
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
        大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的!
        IE6的SP1里就带了对httponly的支持,所以相对还说还是些安全性。
...

阅读全文…
1