https 连接是否保护 cookie 并防止 XSS 攻击。我有一个简单的博客,允许用户输入 JavaScript 代码作为输入。我想允许用户输入 Javascript,同时仍然防止 XSS 攻击和 cookie 窃取。 https 是否有助于保护 cookie。我只发现很少有网站在谈论这个,但仍然有点不清楚。
最佳答案
HTTPS 可以防止中间人攻击,但不能防止 XSS。不幸的是,仅凭此 session cookie 并不安全,可以使用 HTTP 请求页面,然后相同的 cookie 将不 protected 地发送。
要确保 session cookie 仅在 HTTPS 连接上发送,您可以在开始 session 之前使用函数 session_set_cookie_params():
session_set_cookie_params(0, '/', '', true, true);
session_start();
注意第一个 true
,这意味着 cookie 将只发送到 HTTPS 页面。第二个 true
告诉浏览器,JavaScript 不能访问 session cookie,这取决于浏览器是否正确完成。
另一种使站点更安全的好方法是,仅使用 session cookie 来维护 session ,并使用第二个 cookie 来进行身份验证。如果您有兴趣,我可以提供一个示例。
关于php - https 安全 cookie 是否可以防止 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6530339/