微信公众号讲师中心

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机/移动开发手机游戏

最近更新

搜索

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程

首页 > 后端开发 > php教程 > 正文

既然 HttpOnly 可以防止 XSS 偷取 Cookie，为什么没有被广泛使用？

php中文网

发布： 2016-08-10 08:50:40

原创

1759人浏览过

回复内容：

http-only 可以防止cookie被偷取，但是却不是万能的，方便与安全总是背道而驰的。在开发上面，除非整体架构一开始部署httponly，这样后期维护成本相对较低。否则到了后期，普遍想部署httponly就相对困难了。主要体现在：业务线很长的情况下，部署httponly就相当于牵一发而动全身了。
以腾讯为例子：你会发现他里头有一段代码：
document.domain="http://qq.com";
即不同的二级域名*.http://qq.com乃至更多级域名能同步cookie等用户信息。
这样带来的是用户体验的提升，但是，也给安全问题埋下了伏笔。
腾讯的一个二级域名xss能做什么？可以看看pkav的这个视频：

既然 HttpOnly 可以防止 XSS 偷取 Cookie，为什么没有被广泛使用？

互联网真的安全么？ http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 嗯，上面说了这么多，总结一下：
1、httponly普及【广泛使用】与否还得看场景，脱离场景谈论httponly就是耍流氓。
2、httponly并不是万能的。Apache的cve-2012-0053能突破httponly。

最佳 Windows 性能的顶级免费优化软件

最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移，垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是，许多工具可以让 Windows 保持平稳运行。

来源：php中文网

上一篇：珍爱网程序猿一枚，在互联网公司工作1年，怎么样才能让自己进步？先介绍下我在珍爱网工作经历下一篇：linux 上最好的终端工具是？

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

最新问题

PHP中向关联数组添加键值对元素的正确方法本文详细介绍了在PHP中向关联数组添加带有特定键和值的元素的正确方法。通过直接为指定键赋值，可以有效扩展数组，避免常见的“未定义索引”错误和意外的数组覆盖。文章提供了清晰的代码示例，并分析了常见错误及其原因，帮助开发者掌握PHP数组操作的核心技巧。

2025-11-22 12:07:29

278

海豚php怎么用_海豚PHP管理面板配置与使用方法 1、安装需下载解压后通过浏览器访问install路径完成数据库与管理员设置；2、伪静态配置需根据Nginx或Apache添加重写规则并在后台开启选项；3、模块管理支持启用、停用及上传新模块至指定目录；4、定时任务需在后台新增并设置Crontab格式周期，同时添加系统级Cron执行命令；5、权限设置应创建角色并分配最小化权限，关联用户后验证控制效果。

2025-11-22 12:06:57

673

CSS媒体查询失效：深入解析常见语法错误与调试策略本教程深入探讨了CSS媒体查询失效的常见原因，特别是由于CSS语法错误（如动画定义中缺少闭合括号）导致的级联问题。文章强调了正确语法的重要性，并提供了详细的调试策略，包括使用浏览器开发者工具、CSS校验器以及结构化调试方法，旨在帮助开发者有效识别并解决CSS渲染异常，确保响应式设计的正确实现。

2025-11-22 12:06:20

813

FFmpeg与PHP：处理任意位置视频文件的教程本教程详细阐述了如何在PHP环境中，利用FFmpeg处理用户从任意位置上传的视频文件。核心在于理解FFmpeg在服务器端执行时，需要文件的绝对路径。文章将指导您完成文件上传、安全存储，以及如何构建和执行FFmpeg命令，并提供关键的安全与性能最佳实践，确保您的应用能够稳定、高效地处理媒体文件。

2025-11-22 12:02:52

454

SQL多表联接与复杂条件查询：IN操作符与条件聚合技巧本教程深入探讨了在SQL多表联接中处理复杂查询条件的两种核心方法。首先，纠正了使用AND操作符进行互斥条件判断的常见误区，并介绍了如何利用IN操作符高效查询符合任一指定条件的记录。其次，针对更高级的需求，详细讲解了如何通过GROUPBY结合条件聚合（COUNT(CASEWHEN...THEN...END)）来识别同时满足所有指定条件的聚合实体，并提供了具体的代码示例和解析。

2025-11-22 12:02:40

854

WordPress登录后基于URL参数实现动态重定向本文详细探讨了在WordPress中实现基于URL参数的登录后动态重定向功能。针对传统方法中因HTTP请求特性导致URL参数在登录提交后丢失的问题，我们提出并演示了利用Cookie机制来持久化重定向目标URL的解决方案。通过设置和读取Cookie，确保用户在登录后能够被准确地引导至预期的页面，同时保留了基于用户角色的默认重定向逻辑，提升了用户体验和系统灵活性。

2025-11-22 11:57:36

855

解决WordPress自定义WP_Query首页分页显示全部文章问题本教程旨在解决WordPress开发中，使用WP_Query自定义循环时，分页功能在除第一页外的其他页面正常工作，但第一页却显示所有文章的常见问题。文章将详细阐述如何通过精确配置WP_Query参数，特别是nopaging和paged，确保分页逻辑在所有页面上保持一致，提供完整的代码示例和最佳实践。

2025-11-22 11:56:42

210

深入理解 PHP in_array()：解决前导零导致的非严格匹配问题本文深入探讨PHPin_array()函数在处理包含前导零的字符串时可能出现的非预期行为。默认情况下，in_array()进行松散类型比较，导致‘0123’可能与‘123’匹配。教程将详细解释这一现象，并提供通过设置第三个参数为true来启用严格类型检查的解决方案，确保精确匹配，避免潜在的数据逻辑错误。

2025-11-22 11:56:02

851

深入理解与访问PHP对象属性：解密__set_state与类数据获取当PHPvar_export输出中出现__set_state时，它指示一个对象而非简单数组。尝试以数组方式访问其内部数据会导致NULL。本文将详细解释为何不能直接通过数组语法访问对象内部值，并指导读者如何通过查阅类文档或源代码，利用对象方法（如getter）正确、安全地获取Drupal\search_api\Query\Condition这类对象中的特定属性值。

2025-11-22 11:54:24

217

WooCommerce教程：使用PHP批量管理产品可购买性本教程详细介绍了如何在WooCommerce中，通过利用woocommerce_is_purchasable过滤器和PHP代码，实现对多个指定产品ID批量禁用购买功能。文章将从单产品限制的局限性出发，逐步讲解如何构建一个高效且易于维护的解决方案，确保只有特定产品无法被添加到购物车或进行购买，同时提供完整的代码示例和实施注意事项。

2025-11-22 11:52:02

123

相关专题

更多>

热门推荐

开源免费商场系统

广告

热门教程

更多>

相关推荐

热门推荐

最新课程

最新下载

更多>

网站特效

网站源码

网站素材

前端模板

关于我们免责申明举报中心意见反馈讲师合作广告合作最新更新 English: php中文网：公益在线php培训，帮助PHP学习者快速成长！; 关注服务号技术交流群

PHP中文网订阅号: 每天精选资源文章推送

PHP中文网APP: 随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

PHP学习

技术支持

返回顶部