You are here: 首頁 PHP分享特區 PHP OWASP 漏洞補救

飛朵啦學習手札

本網站建議使用Firefox2.0以上,或是使用Goole瀏覽器來瀏覽,並使用1024x768解析度來觀看.

PHP OWASP 漏洞補救

E-mail 列印 PDF

1. Cookie set without HttpOnly flag

原因:意思是:httponly設置為true則只能通過http操縱cookie,這樣防止了javascript等腳本語言對cookie做修改,幫助我們有效的防止XSS攻擊.

解決方法:

PHP中的設置

PHP5.2以上版本已支持HttpOnly參數的設置,同樣也支持全局的HttpOnly的設置,在php.ini中

-------------------------------------------------- ---

session.cookie_httponly =

-------------------------------------------------- ---

設置其值為1或者TRUE,來開啟全局的Cookie的HttpOnly屬性,當然也支持在代碼中來開啟:

-------------------------------------------------- ---

<?php ini_set("session.cookie_httponly", 1);

// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

?>

 

-------------------------------------------------- ---

Cookie操作函數setcookie函數和setrawcookie函數也專門添加了第7個參數來做為HttpOnly的選項,開啟方法為:

-------------------------------------------------- -----

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

-------------------------------------------------- -----

對於PHP5.1以前版本以及PHP4版本的話,則需要通過header函數來變通下了:

-------------------------------------------------- -----------

<?php header("Set-Cookie: hidden=value; httpOnly"); ?>

-------------------------------------------------- -----------

@================================================@

2.X-Frame-Option 設定

原因:禁止網頁被iframe引用的方法,使用X-Frame-Options實現

解決:header(‘X-Frame-Options:Deny');

解決:header(‘X-Frame-Options:Deny');

最近更新 ( 週一, 13 十月 2014 15:28 )  
 

新增回應


驗證碼
更新