在Apache中使用HttpOnly和Secure标志保护cookie

本文概述

  • Apache中的实现过程
  • 验证
【在Apache中使用HttpOnly和Secure标志保护cookie】使用HTTPOnly&Secure实现cookie HTTP标头标志, 以保护网站免受XSS攻击
你是否知道可以将HttpOnly和Secure标志与cookie一起使用来缓解最常见的XSS攻击?
XSS很危险。通过每天查看数量越来越多的XSS攻击, 你必须考虑保护Web应用程序的安全。
在HTTP响应标头中没有HttpOnly和Secure标志的情况下, 可以窃取或操纵Web应用程序会话和cookie。
最好在应用程序代码中进行管理。但是, 由于开发人员的不了解, 它涉及到Web服务器管理员。
我不会谈论如何在代码级别设置它们。你可以在这里参考。
Apache中的实现过程
  • 确保在Apache HTTP服务器中启用了mod_headers.so
  • 在httpd.conf中添加以下条目
Header edit Set-Cookie ^(.*)$ $1; HttpOnly; Secure

  • 重新启动Apache HTTP服务器进行测试
注意:标头编辑与低于Apache 2.2.4的版本不兼容。
你可以使用以下命令将HttpOnly和Secure标志设置为低于2.2.4版本。感谢Ytse共享此信息。
Header set Set-Cookie HttpOnly; Secure

验证你可以利用浏览器的内置开发人员工具检查响应标题, 也可以使用在线工具。
有帮助吗?
这是在Apache中要做的许多强化工作之一。

    推荐阅读