php设置cookie为HttpOnly防止XSS攻击

    什么时XSS攻击？    

    XSS攻击（Cross Site Scripting）中文名为跨站脚本攻击，XSS攻击时web中一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录，从而获取登录后的账号操作。

    网站账号登录过程中的简单步骤

    web网页中在用户登录的时候，通过表单把用户输入的账号密码进行后台数据库的验证，验证通过后利用session会话进行用户登录后的判别是否登录，在session的这个过程中服务器会在服务器中写入一个文件并记录sessionid，然后也会在浏览器中设置cookie，保存sessionid，服务器和客户端之间利用这个sessionid进行通信识别。如果客户端发送sessionid给服务器服务器没有找到，则说明服务器中的这个文件已经过期删除了。那用户这边就需要重新登录了。

    XSS攻击的流程

    思路：通过获取目标用户登录后的sessionid，保存到自己的电脑，然后在自己的电脑上设置获取到的sessionid进行账号登录后的操作。通过sessionid伪造请求登录，直接跳过账号密码登录操作就能进去。

    比如：

        给目标用户发送一个有吸引力的邮件，邮箱中包含一个链接，当用户点击链接跳转到一个伪造的页面，这个伪造的页面中包含了获取目标用户浏览器中cookie的javascript代码，获取到cookie中的sessionid后再传送到攻击者的服务器中；或者在站点中的可插入数据的地方进行在html中写行内的javascript代码执行操作（< IMG SRC="jav ascript:alert('XSS');" >;）；还可以当在一个公共wifi环境下，进行可账号登录操作，wifi路由器的管理员可以通过抓包工具抓包直接抓包查看到你的sessionid，所以不要在公共wifi下进行敏感操作，是很不安全的。

　　httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。

       大家都知道，当我们去邮箱或者论坛登陆后，服务器会写一些cookie到我们的浏览器，当下次再访问其他页面时，由于浏览器回自动传递cookie，这样 就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说，实质上，所有的登陆状态这些都是建立在cookie上的！假设我们登陆后的 cookie被人获得，那就会有暴露个人信息的危险！当然，想想，其他人怎么可以获得客户的cookie？那必然是有不怀好意的人的程序在浏览器里运行！ 如果是现在满天飞的流氓软件，那没有办法，httponly也不是用来解决这种情况的，它是用来解决浏览器里javascript访问cookie的问 题。试想，一个flash程序在你的浏览器里运行，就可以获得你的cookie的！
    IE6的SP1里就带了对httponly的支持，所以相对还说还是些安全性。

PHP中的设置 

 PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置，在php.ini中

 ----------------------------------------------------- 

 session.cookie_httponly = 

 ----------------------------------------------------- 

设置其值为1或者TRUE，来开启全局的Cookie的HttpOnly属性，当然也支持在代码中来开启： 

 ----------------------------------------------------- 

 <?php
  ini_set("session.cookie_httponly", 1); 

 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE); 

 ?> 

 ----------------------------------------------------- 

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项，开启方法为： 

 ------------------------------------------------------- 

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

 ------------------------------------------------------- 

 对于PHP5.1以前版本以及PHP4版本的话，则需要通过header函数来变通下了： 

 ------------------------------------------------------------- 

 <?php
  header("Set-Cookie: hidden=value; httpOnly");
  ?> 

 -------------------------------------------------------------