Hus*_*ein 10 javascript php security xss https
https连接是否可以保护cookie并防止XSS攻击.我有一个简单的博客,允许用户输入JavaScript代码作为输入.我想允许用户输入Javascript,同时仍然阻止XSS攻击和cookie窃取.https是否有助于保护cookie.我只发现很少有网站谈论这个,但仍然有点不清楚.
HTTPS可以防止中间人攻击,而不是XSS.不幸的是,会话cookie单独使用它是不安全的,可以请求带有HTTP的页面,然后相同的cookie将被发送不受保护.
要确保仅在HTTPS连接上发送会话cookie,您可以在启动会话之前使用函数session_set_cookie_params():
session_set_cookie_params(0, '/', '', true, true);
session_start();
请注意第一个true,这意味着cookie将仅发送到HTTPS页面.第二个true告诉浏览器,JavaScript不能访问会话cookie,如果正确完成,则取决于浏览器.
使站点更安全的另一个好方法是,仅使用会话cookie来维护会话,并使用第二个cookie来处理身份验证.如果你有兴趣,我可以提供一个例子.