https 连接是否可以保护 cookie 并防止 XSS 攻击。我有一个简单的博客,允许用户输入 JavaScript 代码作为输入。我希望允许用户输入 Javascript,同时仍然防止 XSS 攻击和 cookie 窃取。 https 是否有助于保护 cookie。我只找到了几个谈论这个的网站,但仍然有点不清楚。
HTTPS 可以防止中间人攻击,但不能防止 XSS。不幸的是,会话 cookie 仅凭这一点并不安全,可以使用 HTTP 请求页面,然后相同的 cookie 将在不受保护的情况下发送。
为了确保会话 cookie 仅在 HTTPS 连接上发送,您可以在启动会话之前使用函数 session_set_cookie_params() :
session_set_cookie_params(0, '/', '', true, true);
session_start();
注意第一条true,这意味着 cookie 将仅发送到 HTTPS 页面。第二true告诉浏览器,JavaScript 不能访问会话 cookie,这取决于浏览器是否正确完成。
使站点更安全的另一个好方法是,仅使用会话 cookie 来维护会话,并使用第二个 cookie 来处理身份验证。如果您有兴趣,我可以提供一个例子。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
