你如何设置在PHP中使用HttpOnly cookie

在 PHP 中使用 HttpOnly cookie 可以提高网站的安全性，防止跨站脚本攻击（XSS）。要设置 HttpOnly cookie，请遵循以下步骤：

使用 setcookie() 函数设置 cookie，并将 httponly 参数设置为 true。

setcookie('name', 'value', [
    'expires' => time() + 3600,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
]);

使用 session_set_cookie_params() 函数设置会话 cookie 的参数，并将 httponly 参数设置为 true。

session_set_cookie_params([
    'lifetime' => 3600,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
]);

session_start();

使用 header() 函数设置响应头，将 Set-Cookie 设置为 HttpOnly cookie。

header('Set-Cookie: name=value; expires=Tue, 19 Jan 2038 03:14:07 UTC; path=/; domain=example.com; secure; HttpOnly');

通过以上方法，您可以在 PHP 中设置 HttpOnly cookie，从而提高网站的安全性。

相关·内容

php httponly_php如何设置httponly

php设置httponly的方法：首先找到并打开“php.ini”文件；然后设置“session.cookie_httponly”项的值为1或者TRUE；接着通过“setrawcookie”方法开启即可...PHP设置Cookie的HTTPONLY属性 httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。...试想，一个flash程序在你的浏览器里运行，就可以获得你的cookie的！ IE6的SP1里就带了对httponly的支持，所以相对还说还是些安全性。...PHP中的设置 PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置，在php.ini中session.cookie_httponly = 设置其值为1或者TRUE...，来开启全局的Cookie的HttpOnly属性，当然也支持在代码中来开启：<?

2K2 0

在PHP中，cookie和session的使用

PHP工作原理：PHP通过setcookie函数进行Cookie的设置，任何从浏览器发回的Cookie，PHP都会自动的将他存储在$_COOKIE的全局变量之中，因此我们可以通过$_COOKIE['key...用途：PHP中的Cookie具有非常广泛的使用，经常用来存储用户的登录信息，购物车等，且在使用会话Session时通常使用Cookie来存储会话id来识别用户，Cookie具备有效期，当有效期结束之后，...为：';echo nl2br($content); 设置cookie PHP设置Cookie最常用的方法就是使用setcookie函数，setcookie具有7个可选参数，我们常用到的为前5个：...PHP中还有一个设置Cookie的函数setrawcookie，setrawcookie跟setcookie基本一样，唯一的不同就是value值不会自动的进行urlencode，因此在需要的时候要手动的进行...一般情况下，大多是使用所有路径的，只有在极少数有特殊需求的时候，会设置路径，这种情况下只在指定的路径中才会传递cookie值，可以节省数据的传输，增强安全性以及提高性能。

3.9K7 0

某些浏览器中因cookie设置HttpOnly标志引起的安全问题

作者 Taskiller 1、简介如果cookie设置了HttpOnly标志，可以在发生XSS时避免JavaScript读取cookie，这也是HttpOnly被引入的原因。...2、用JavaScript覆盖cookie中的HttpOnly标志当JavaScript可以覆盖cookie中的HttpOnly标志时，攻击者如果发现网站的XSS漏洞，就可以利用HttpOnly cookie...登录之后，攻击者通过设置用户的session为攻击者正在使用的session，将用户切换为攻击者自己的帐户。受害者以为其正在使用自己的帐户，实际上一些敏感信息已经泄露给攻击者了。...但是由于该问题是在支持结束声明之前提交的，他们决定将我加入到黑莓安全事件响应小组的感谢名单中（根据他们的规定，笔者的名字会在2014年4月底才会被加入）[2]。...6、总结 HttpOnly标志的引入是为了防止设置了该标志的cookie被JavaScript读取，但事实证明设置了这种cookie在某些浏览器中却能被JavaScript覆盖，可被攻击者利用来发动session

2.1K7 0

【说站】php中如何配置Cookie加密

php中如何配置Cookie加密说明 1、Cookie在客户端浏览器的传输的HTTP头也是明文的。...通过加密cookie，您可以保护您的应用程序对众多的攻击，如 2、分为Cookie篡改和跨应用程序使用Cookie。 Cookie篡改：攻击者可能会尝试猜测其他合理的cookie值来攻击程序。...跨应用程序使用Cookie：不正确配置的应用程序可能具有相同的会话存储，如所有会话默认存储在/tmp目录下，一个应用程序的cookie可能永远不会被重新用于另一应用，只要加密密钥不同。...//记录是明文的 ##扩展开启后查看某条sesson 的数据 cat sess_ukkiiiheedupem8k4hheo0b0v4 //记录是密文的可见加密对安全的重要性以上就是php中配置Cookie...更多php学习指路：php教程推荐操作系统：windows7系统、PHP5.6、DELL G3电脑

4532 0

如何在 PHP 中使用和管理 Cookie

在上面的 Cookie 展示中，可以看到有些 Cookie 是设置在 .xueyuanjun.com 域名下的，有些是设置在根域名 xueyuanjun.com 下的，两者之间的区别是前者的 Cookie...在 PHP 中，可以通过 header 函数来发送所有响应头，不过，由于 Cookie 有很多额外属性，使用该方法操作未免过于繁琐，而且代码可读性和可维护性较差，为此，PHP 提供了一个专门用于发送 Cookie...', $expires); // 1 小时后过期 echo '设置 Cookie 成功'; 然后，我们在浏览器中访问 http://localhost:9000/cookie.php：可以看到响应头中已经包含两个用于设置...在 EditThisCookie 扩展中也可以看到对应的站点 Cookie 信息了：通过 $_COOKIE 获取 Cookie 信息在 PHP 中，可以通过超全局变量 $_COOKIE 来获取请求中的...更新 Cookie 更新 Cookie 还是调用 setcookie 函数，设置同名 Cookie，然后修改属性值覆盖之前的设置即可，在 cookie.php 中新增更新 Cookie 代码： <?

3.5K2 0

PHP中header头设置Cookie与内置setCookie的区别

PHP中setCookie(函数的实现)，就是对HTTP头进行封装，由此看来使用 header 与使用setCookie是一样的。...由于header头信息属于HTTP协议内容，必须先把头信息发送到服务器，再进行数据下载等其他操作，所以在setCookie 与 header 之前不能有任何内容输出（例如：echo/printf等） header...设置Cookie方式： 1 header(“Set-Cookie: testcookie=中文; path=/; domain=.sunphp.org; expires=”.gmstrftime(“%...A, %d-%b-%Y %H:%M:%S GMT”,time()+9600)); setCookie设置方式：语法：setcookie(name,value,expire,path,domain...规定 cookie 的名称。 value 必需。规定 cookie 的值。 expire 可选。规定 cookie 的有效期。 path 可选。规定 cookie 的服务器路径。 domain 可选。

8551 0

Python中的Cookie模块如何使用

那是因为：对于通过身份验证的用户，Server会偷偷的在发往Client的数据中添加 Cookie，Cookie中一般保存一个标识该Client的唯一的ID，Client在接下来对服务器的请求中，会将该...下面的例子简单的说明如何使用Cookie模块： import Cookie c = Cookie.SimpleCookie() c['name'] = 'DarkBull' c['address'] =...如果你玩过web，对这些应该不会陌生，可以在RCF2109中找到他们的具体定义 Morsel.key，Morsel.value：Cookie数据项的key/value(value可以是二进制数据)； Morsel.coded_value..., secure, version, httponly中的一个，返回True，否则返回False； Morsel.output()：返回型如“Set-Cookie: …”的字符串，表示一个Cookie数据项...以上就是Python中的Cookie模块如何使用的详细内容，更多关于Python中的Cookie模块用法的资料请关注ZaLou.Cn其它相关文章！

2.1K1 0

你知道在springboot中如何使用WebSocket吗

想要实现浏览器的主动推送有两种主流实现方式：轮询：缺点很多，但是实现简单 websocket：在浏览器和服务器之间建立 tcp 连接，实现全双工通信 springboot 使用 websocket...这一篇实现简单的 websocket，STOMP 下一篇在讲。...注意：如下都是针对使用 springboot 内置容器二、实现 1、依赖引入要使用 websocket 关键是@ServerEndpoint这个注解，该注解是 javaee 标准中的注解,tomcat7...及以上已经实现了,如果使用传统方法将 war 包部署到 tomcat 中，只需要引入如下 javaee 标准依赖即可： javax...serverEndpointExporter(){ return new ServerEndpointExporter(); } } 3、申明 endpoint 建立MyWebSocket.java类，在该类中处理

2.7K4 0

如何严格设置php中session过期时间

如何严格限制session在30分钟后过期！...在客户端Cookie储存的时间，默认是0，代表浏览器一关闭SessionID就作废……就是因为这个所以Session不能永久使用！...还有很多的设置，不过和本文相关的就是这些了，下面开始讲如何设置Session的存活周期。...”改为你需要设置的时间（比如一个小时，就可以设置为3600，以秒为单位）; 3、把“session.gc_maxlifetime”设置为和“session.cookie_lifetime”一样的时间；...在PHP的文档中明确指出，设定session有效期的参数是session.gc_maxlifetime。

2K4 1

在PHP中如何使用全局变量的方法详解

使用关键字“global”你就可以把全局数据导入到一个函数的局部范围内。如果你不明白“变量使用范围”，请你自己参考PHP手册上的相关说明。...在开发的过程中，你可能会知道知道每一个全局变量，但大概一年之后，你可能会忘记其中至少一般的全局变量，这个时候你会为自己使用那么多全局变量而懊悔不已。那么如果我们不使用全局变量，我们该使用什么呢？...比如说，假如我们要使用一个数据库类，一个程序设置类和一个用户类。在我们代码中，这三个类在所有组件中都要用到，所以必须传递给每一个组件。...虽然这些变量都非常标准，而且在你使用中也不会出什么问题，但是在某些情况下，你可能同样需要使用注册器来封装它们。一个简单的解决方法就是写一个类来提供获取这些变量的接口。...结论在本文中，我们演示了如何从根本上移除代码中的全局变量，而相应的用合适的函数和变量来替代。注册模式是我最喜欢的设计模式之一，因为它是非常的灵活，而且它能够防止你的代码变得一塌糊涂。

7.2K10 0

的cookie机制

生成的cookie名都是带有一个前缀的，一直不知道这个前缀规律如何，那我又要如何调用内置的cookie呢？后来查了一下资料，Discuz!...顺藤摸瓜，在function_core.php里面找到了这两个函数： function dsetcookie($var, $value = '', $life = 0, $prefix = 1,...中调用cookie的思路出来了：设置cookie：dsetcookie('cookie名', 'cookie值', '有效时间'); 源码中dsetcookie还有两个参数$prefix...与$httponly，$prefix为是否添加cookie前缀，true则自动添加网站的前缀，false则不添加，$httponly表示是否只允许http方式访问，这两个值只要默认值即可，有需要可另外设置...，不过当用户访问的是手机版则$httponly会被自动设置为false，见function_core.php第272行 if(defined('IN_MOBILE')) { $httponly

3.3K4 0

在 PHP 中如何解码 JSONP

如果是 JSON 数据，使用 json_decode 这个 PHP 函数就能解码，但是有些数据接口只提供了 JSONP 数据如何解码呢？...下面提供了一个 PHP 函数 jsonp_decode ，让你直接实现 JSONP 解码： function jsonp_decode($jsonp, $assoc = false) { if($jsonp

6661 0

goto语法在PHP中的使用

goto语法在PHP中的使用在C++、Java及很多语言中，都存在着一个神奇的语法，就是goto。顾名思义，它的使用是直接去到某个地方。从来代码的角度来说，也就是直接跳转到指定的地方。...我们的PHP中也有这个功能，我们先来看看它是如何使用的： goto a; echo "1"; // 不会输出 a: echo '2'; // 2 代码运行到goto位置时，就跳转到了a:所在的代码行并继续执行下去...感觉很好玩吧，这个功能对于复杂的嵌套if或者在一些循环中进行跳出很有用，特别是针对某些异常或者错误情况的处理，比如： for ($i = 0, $j = 50; $i < 100; $i++) {...所以，goto这个语法的使用非常少，因为它会扰乱你的代码逻辑流程，但喜欢它的人又会感觉到可以让代码非常地灵活多变。...这就要仁者见仁智者见智的进行选择了，目前大多数语言的文档中都并不是很提倡使用这个语法，包括PHP。

2.7K1 0

trait能力在PHP中的使用

trait能力在PHP中的使用相信大家对trait已经不陌生了，早在5.4时，trait就已经出现在了PHP的新特性中。当然，本身trait也是特性的意思，但这个特性的主要能力就是为了代码的复用。...为了解决C++多重继承的混乱问题，大部分语言都是单继承多接口的形式，但这也会让一些可以复用的代码必须通过组合的方式来实现，如果要用到组合，不可避免的就要实例化类或者使用静态方法，无形中增加了内存的占用。...而PHP为了解决这个问题，就正式推出了trait能力。你可以把它看做是组合能力的一种变体。...如果注释掉testB类中的test()方法，则会报错。因为程序无法区分出你要使用的是哪一个trait中的test()方法。我们可以使用insteadof来指定要使用的方法调用哪一个trait。...9C%A8PHP%E4%B8%AD%E7%9A%84%E4%BD%BF%E7%94%A8.php 参考文档：https://www.php.net/manual/zh/language.oop5.traits.php

1.9K1 0

PHP全栈学习笔记9

cookie使用场景 ? image.png ? image.png Cookie：达成服务器和浏览器之间长久连接的状态。浏览器的cookie以小文件的形式保存在客户端中。...time() 认识COOKIE？ 1.cookie是存储在客户端中的，至于怎么存储，存储的文件是什么这和服务器没有关系，和客户端有关系。...session会话控制，会话支持在php中是在并发访问时由一个方法来保存某些数据，从而使你能够构建更多的定制程序，从而提高你的web网站的吸引力。...image.png 要在一个函数中访问一个全局变量，需要使用 global 关键字 <?...结言好了，欢迎在留言区留言，与大家分享你的经验和心得。

6113 0

web渗透测试—-33、HttpOnly

使用 Java 设置 HttpOnly：从采用 Java Servlet 3.0 技术的 Java Enterprise Edition 6 (JEE6) 开始，就可以在 cookie 上以编程方式设置...NET 设置 HttpOnly，在 .NET 2.0 中，还可以通过 HttpCookie 对象为所有自定义应用程序 cookie 设置 HttpOnly。...HttpOnly"; 使用 Python 设置 HttpOnly：要在 Cherrypy 会话中使用 HTTP-Only cookie，只需在配置文件中添加以下行： tools.sessions.httponly...= True 如果使用 SLL，还可以避免中间人攻击： tools.sessions.secure = True 使用 PHP 设置 HttpOnly： PHP 从 5.2.0 开始支持设置...HttpOnly 标志，对于由 PHP 管理的会话 cookie，通过在php.ini中设置HttpOnly： session.cookie_httponly = True 或通过函数： void session_set_cookie_params

2.2K3 0

PHP如何防止XSS攻击与XSS攻击原理的讲解

PHP中的设置 PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置，在php.ini中 -----------------------------------...------------------ session.cookie_httponly = ----------------------------------------------------- 设置其值为...1或者TRUE，来开启全局的Cookie的HttpOnly属性，当然也支持在代码中来开启： <?...php ini_set("session.cookie_httponly", 1); // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE...Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项，开启方法为： <?

2.7K2 0

在PHP中如何为匿名函数指定this？

在PHP中如何为匿名函数指定this？关于闭包匿名函数，在JS中有个很典型的问题就是要给它绑定一个 this 作用域。...其实这个问题在PHP中也是存在的，比如下面这段代码： $func = function($say){ echo $this->name, '：', $say, PHP_EOL; }; $func...('good'); // Fatal error: Uncaught Error: Using $this when not in object context 在这个匿名函数中，我们使用了 \$this...错误信息是：使用了 $this 但是没有对象上下文，也就是说没有指定 $this 引用的作用域。...cool2'); // Fatal error: Uncaught Error: Cannot access private property Lily::$name call() 方法绑定 $this 在PHP7

2.1K1 0

Redis 在PHP中的使用笔记

9625 0

PHP安全配置

一、屏蔽PHP错误信息在配置文件中，设置display_errors=On，开启了PHP错误显示，在PHP程序遇到错误时，会暴露PHP文件和系统路径，从而容易被威胁，我们需要设置： ;默认开启 ;Default...expose_php，将值设置为 Off expose_php=Off 三、防止全局变量覆盖在全局变量功能开启的情况下，传递过来的数据会被直接注册为全局变量使用，需要关闭全局变量覆盖，在PHP5.6...，如果使用不当，可能造成系统崩溃，配置文件中，disable_functions 选项能够在PHP中禁用指定的函数 disable_functions=phpinfo,eval,passthru,exec...,system,chroot,scandir…… 参考：《PHP建议禁用的危险函数》五、PHP中的Cookie安全 1.Cookie 的 HttpOnly HttpOnly 可以让 Cookie 在浏览器中不可见...web传输协议使用的是HTTPS，则应开启 cookie_secure ，当Secure属性设置为true时，Cookie只有在HTTPS下才能上传到服务器，防止Cookie被窃取 session.cookie_secure

1.4K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云