[security] Set-Cookie: HttpOnly ,避免 XSS 攻擊時存取你的 session id

當今天網站不小心被發現有 XSS 漏洞時,攻擊者很可能會透過 javascript 盜取你的 cookie 中的 session id,來盜取帳號。 在 http(s) header 中其中有一個 header 為 Set-Cookie,將 Set-Cookie 設為 httpOnly(javascript 無法存取cookie)或 secure (http 連線無法存取 cookie) 並且各瀏覽器都支援此 header 我們可以簡單的透過 php_ini 設定,Set-Cookie: HttpOnly vim /etc/php5/apache2/php.in session.cookie_httponly = true 但這樣設定僅會設定到 Set-Cookie: HttpOnly(僅阻止 javascript 直接存取 cookie) 透過 apache2 設定 header (apahce 版本資訊, 可透過指令 sudo apache2 -v 得知) vim /etc/apache2/conf-available/security.conf 若是 apache 版本 […]

Continue reading