在php中设置sessionid的httponly属性

最新推荐文章于 2025-05-03 12:16:02 发布

Gtaker

最新推荐文章于 2025-05-03 12:16:02 发布

阅读量3k

点赞数

CC 4.0 BY-SA版权

分类专栏： php

本文链接：https://blog.csdn.net/Gtacer/article/details/78198198

php 专栏收录该内容

20 篇文章

订阅专栏

本文介绍两种在PHP中设置HttpOnly Cookies的方法：一是通过修改setcookie()函数的第七个参数为true；二是使用header()函数来实现。这两种方法有助于增强会话安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

方法1：将setcookie()函数的第七个参数设置为true

    $sess_name = session_name();//必须在session_start之前调用session_name
    if (session_start()) {
        setcookie($sess_name, session_id(), null, '/', null, null, true);
    }

方法2：使用header()函数

header( "Set-Cookie: name=value; httpOnly" );

参考资料：

session的安全性

How do you set up use HttpOnly cookies in PHP

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Gtaker

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Tp5开启cookie和session安全传输secure和httponly

李维山的博客

08-07

2139

在配置文件 config.php 中设置如下： // +---------------------------------------------------------------------- // | 会话设置 // +---------------------------------------------------------------------- 'session' => [ 'id' => '', // SESSI

session配置secure和httpOnly

03-16

本文档描述了关于cookie的http-only和secure的简介，和如何设置该属性，以及设置该属性会遇到的问题解决方法

参与评论您还未登录，请先登录后发表或查看评论

php7 setcookie无效_PHP设置Cookie的HTTPONLY属性方法

weixin_33091939的博客

01-14

694

httponly是微软对cookie做的扩展，这个主要是解决用户的cookie可能被盗用的问题。大家都知道，当我们去邮箱或者论坛登陆后，服务器会写一些cookie到我们的浏览器，当下次再访问其他页面时，由于浏览器回自动传递cookie，这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说，实质上，所有的登陆状态这些都是建立在cookie上的！假设我们登陆后的cookie被人获得，那...

HTTPcookie与session实现

最新发布

2302_80378107的博客

05-03

1294

（也称为Web Cookie、浏览器Cookie或简称Cookie）是服务器发送到用户浏览器并保存在浏览器上的一小块数据，它会在浏览器之后向同一服务器再次发起请求时被携带并发送到服务器上。通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态、记录用户偏好等。工作原理。

php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法

weixin_36296064的博客

03-09

1390

吐槽的话就不说了，没什么意义，今天上午接到当地网安给我的 Web 应用安全评估报告，给泪雪网强行找出了几个低危漏洞要求处理，这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性，还有一个就是 Secure 属性，另外两个就是 robots.txt 和网站地图 sitemap，既然强行说我有漏洞，那就积极响应整改修复，毕竟在子凡眼里是不容这种低级错误发生的。由于我们泪雪网使用 PH...

php中session.cookie_httponly的作用

spz1025的博客

07-31

5551

今天偶然看到一个设置ini_set(“session.cookie_httponly”,1) 去搜了下作用，我理解过来就是说为了避免浏览器其他的例如JavaScript，flash等脚本轻而易举的获取或修改到服务端存储在cookie中的信息,这样可以防止XSS攻击。 ps: httponly是微软对cookie做的扩展。 Session数据保存在服务器端, 但是每一个客户端都需要保存一个Ses...

php httponly 测试,php设置httponly的方法

weixin_35810012的博客

03-10

544

php设置httponly的方法发布时间：2020-08-13 09:55:27来源：亿速云阅读：92作者：小新小编给大家分享一下php设置httponly的方法，希望大家阅读完这篇文章后大所收获，下面让我们一起去探讨吧！php设置httponly的方法：首先找到并打开“php.ini”文件；然后设置“session.cookie_httponly”项的值为1或者TRUE；接着通过“setrawc...

PHP设置Cookie的HTTPONLY属性方法

12-18

2. **保护敏感信息**：用户登录后的Session ID通常存储在Cookie中，如果被恶意脚本获取，攻击者可以假冒用户身份。启用HTTPOnly能有效防止这种情况发生。 **二、PHP支持HTTPOnly** PHP从5.2版本开始支持设置Cookie...

cookie设置httpOnly和secure属性实现及问题

01-03

在Java Web应用中，可以通过编写自定义过滤器来实现`httpOnly`和`secure`属性的设置。下面是一个简单的示例: ```java public class CookieSecureFilter implements Filter { @Override public void doFilter...

HTTPS请求头缺少HttpOnly和Secure属性解决方案

李木子的博客

07-16

680

等保测评

php中http与https跨域共享session的解决方法

12-18

- **使用HTTPOnly Cookie**：设置Cookie的HTTPOnly属性，防止JavaScript代码访问Cookie，减少XSS攻击的风险。总结：在PHP中处理HTTP和HTTPS跨域Session时，开发者需要手动管理Session ID的传递，同时关注安全问题...

Session Cookie的HttpOnly和secure属性

10-29

一、属性说明： 1 secure属性当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。对于以上两个属性，首先，secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，HttpOnly属性的目的是防止程序获取cookie后进行攻击。其次，GlassFish2.x支持的是servlet2.5，而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。也就是说两个属性，并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。二、实例项目架构环境：jsp+servlet+applet

httpOnly对于抵御Session劫持的个人小结

Lucky小小吴的小屋

11-18

829

cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，主要防护的攻击手段：XSS不能通过document对象直接获取cookie。

NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案

sunsineq的专栏

06-25

3753

基于安全的考虑，需要给cookie加上Secure和HttpOnly属性，HttpOnly比较好理解，设置HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容。cookie中的Secure指的是安全性。在WEB应用中，对于敏感业务，如：登录或者付款，需要使用HTTPS来保证内容的传输安全，而在用户成功获得授权之后，获得的客户端身份cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面拿到，从而造成重要的身份泄露。

JAVA年度安全第四周 SESSION COOKIE HTTPONLY 标识

New World

07-26

4560

http://www.jtmelton.com/2012/01/25/year-of-security-for-java-week-4-session-cookie-httponly-flag/ What is it and why do I care? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.

Session新增secure和httpOnly策略

s13166803785的博客

06-11

1558

1、添加HttpOnly和secure属性（用过滤器实现）根据之前的说明，GlassFish2不支持Session Cookie的HttpOnly属性，以及secure属性也需要自己进行设置，所以最后的处理方法是：在工程各添加一个Filter，对请求的入口页面(或者是请求后跳转到的第一个客户可见的页面，一般是登陆页面)，重新设置客户端的session属性。 (response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";Path=