为了解决XSS****问题,从IE6开始支持cookIE的HttpOnly属性。 此属性目前由大多数浏览器(ie、FF、Chrome、Safari ) )
正在支持。 如果cookie的HttpOnly属性设置为true,则前端脚本中的JavaScript将无法访问和操作cookie,并且XSS将被禁用。
即使是这样,也不要把重要的信息放在饼干里。
PHP的设定方法:
header(set-cookie:tmp=100; HttpOnly ';
或者
setcookie('tmp ',100,NULL,NULL,NULL,NULL,TRUE );
如何设置asp.net :
httpcookiemyhttpcookie=new http cookie (' last visit ',' test ' );
myHttpOnlyCookie.HttpOnly=true;
response.append cookie (myhttponlycookie;
ASP的内置对象没有相关方法,只能变通实现:
‘————sethttponlycookie ——3354————33543354————————3354————3——333——333333——3333333———
‘功能:设置HttpOnly Cookie
‘参数:expDate表示保修期已满,0表示不设置,如果设置为过去的某个时间则表示已清除
“参数:domain表示不设置为空(string.Empty )
‘——3354335433543354——————————33543354——3354————————33——333333——3333333——33333——3333 -
functionsethttponlycookie (cookiename、cookieValue、domain、path和expDate ) )。
Dim cookie
cookie=cookiename“=”server.urlencode (cookie value ); path=” path”
If expDate 0 Then
cookie=饼干“; expires=”datetogmt () expdate )”
End If
if域“”then
cookie=饼干“; 域=“域”
End If
cookie=饼干“; 只有http”
call response.add header (" set-cookie ",cookie ) )。
最终函数
‘————-getgmttime ————
‘参数: sDate需要时间转换为GMT
‘——3354——335433543————————33333333333—————
是功能数据切换(sdate )
Dim dWeek,dMonth
Dim strZero,strZone
strZero=”00 " "
strZone=” 0800 " "
dweek=Array(”sun”、“Mon”、“Tue”、“Wes”、“Thu”、“Fri”、“Sat”)
dmonth=Array(”Jan "、" Feb "、" Mar "、" Apr "、" May "、" Jun "、" Jul "、" Aug "、" Sep "、" Oct "、" Nov )
datetogmt=dweek(weekday(sdate )-1 )、“right (right ) strzeroday )、2 )”“d month (month ) sdate”-1)“yeeetogmt”
最终函数
《参考》
“callsethttponlycookie”“cookie only 1”,“onlyvalue”,”. gyzs.com”,“/”,0 )
来自www.workneed.com