php设置cookie为httponly防止xss攻击

什么是XSS攻击？

XSS攻击（Cross Site Scripting）中文名为跨站脚本攻击，XSS攻击时web中一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录，从而获取登录后的账号操作。

网站账号登录过程中的简单步骤

web网页中在用户登录的时候，通过表单把用户输入的账号密码进行后台数据库的验证，验证通过后利用session会话进行用户登录后的判别是否登录，在session的这个过程中服务器会在服务器中写入一个文件并记录sessionid，然后也会在浏览器中设置cookie，保存sessionid，服务器和客户端之间利用这个sessionid进行通信识别。如果客户端发送sessionid给服务器服务器没有找到，则说明服务器中的这个文件已经过期删除了。那用户这边就需要重新登录了。

XSS攻击的流程

思路：通过获取目标用户登录后的sessionid，保存到自己的电脑，然后在自己的电脑上设置获取到的sessionid进行账号登录后的操作。通过sessionid伪造请求登录，直接跳过账号密码登录操作就能进去。

比如：
给目标用户发送一个有吸引力的邮件，邮箱中包含一个链接，当用户点击链接跳转到一个伪造的页面，这个伪造的页面中包含了获取目标用户浏览器中cookie的javascript代码，获取到cookie中的sessionid后再传送到攻击者的服务器中；或者在站点中的可插入数据的地方进行在html中写行内的javascript代码执行操作（< IMG SRC="jav ascript:alert('XSS');" >;）；还可以当在一个公共wifi环境下，进行可账号登录操作，wifi路由器的管理员可以通过抓包工具抓包直接抓包查看到你的sessionid，所以不要在公共wifi下进行敏感操作，是很不安全的。

提高安全性的设置

方法一：在php.ini配置文件中进行cookie只读设置的开启

#搜索session.cookie_httponly =
session.cookie_httponly = On

方法二：在php代码顶部设置
<?php
ini_set("session.cookie_httponly", 1);
#（php5.1以前版本设置方法：header("Set-Cookie: hidden=value; httpOnly");）
?>

原文地址：http://www.zixuephp.net/article-304.html
原文标题：php设置cookie为HttpOnly防止XSS攻击