Davidou的 Blog

防禦

[資安]Cookies without HttpOnly flag set

Cookies without HttpOnly flag set

請參考:HttpOnly – HTTP Headers 的資安議題 (3)

HTTP Session 攻擊與防護

Cookies with missing, inconsistent or contradictory properties

-Cookie without SameSite attribute.
When cookies lack the SameSite attribute, Web browsers may apply different and sometime

Cookies without Secure flag set

上面的問題其實都可以用一行搞定

setcookie('cross-site-cookie', 'name', ['samesite' => 'Strict', 'secure' => true, 'httponly' =>true]);

你就可以在你的登入頁面上看到下圖

當然這邊有個要注意的是secure 這個屬性,你的網站要有HTTPS再開啟,如果沒有的話是沒有用的

會出現如下圖這樣多冒出一個驚嘆號

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)

About Author

DAVIDOU

一個不務正業,甚麼科技產品都玩的網路宅宅。 If you want to find me,that's easy! I will always on the Internet. so just find me, follow me. I will show you everything fun.

文章分類
展開 | 收起
apache (1)
arduino (17)
css (6)
git (3)
Home assistant (3)
Java (16)
Java script (10)
LibreNMS (3)
mail (9)
NAS (6)
openpilot (4)
openstreetmap (5)
OS (41)
php (31)
python (4)
R PI (10)
raid (1)
sql (5)
switch、網通 (23)
TensorFlow (19)
vb.net (14)
資安 (50)
CEH (20)
cyber kill chain手法 (10)
工具、軟體 (4)
防禦 (12)
Got Your PW 專供資安人的資源與工具整理
cmd找檔案內字串
[資安]用 Shodan 掃描
[Python]反編譯pyc文件
閒聊 (57)
最新回應
我的社群網路
plurk plurk github kunlex