一聚教程网:一个值得你收藏的教程网站

最新下载

热门教程

TP5.1 项目启用 HttpOnly 防范 XSS 攻击 安全头

时间:2026-07-12 09:19:56 编辑:袖梨 来源:一聚教程网

HttpOnly是防范XSS窃取Cookie最直接有效的手段,它使document.cookie无法读取关键会话Cookie(如PHPSESSID),切断身份劫持路径;需通过全局配置、动态设置或PHP底层启用,并配合输入输出过滤构成纵深防御。

TP5.1 项目启用 HttpOnly 是防范 XSS 攻击中 Cookie 窃取最直接有效的手段之一。它本身不阻止脚本注入,但能确保关键会话 Cookie(如 PHPSESSID 或自定义 token)无法被 document.cookie 读取,从而切断攻击者通过 XSS 劫持用户身份的核心路径。

一、全局配置 Cookie 的 HttpOnly 属性

这是最推荐的落地方式,覆盖所有由框架 Cookie 类或 cookie() 助手函数写入的 Cookie。

  • 打开 application/config.php
  • 'cookie' => [] 数组中添加或修改以下配置项:
  'httponly' => true,
  'secure' => true, // 若部署 HTTPS,必须开启
  'samesite' => 'Lax' // 可选,增强 CSRF 防护

配置生效后,所有新写入的 Cookie(包括登录生成的 session token)都会自动带上 HttpOnlySecure 标志。

二、手动控制特定 Cookie 的 HttpOnly 状态

当需要为某个敏感字段(如临时令牌、授权凭证)单独设置安全策略时,可在控制器或中间件中动态调用:

  • 引入门面:use thinkfacadeCookie;
  • 显式传参:Cookie::set('auth_token', $token, ['httponly' => true, 'secure' => true]);
  • 注意:该方式不会继承全局配置,httponlysecure 必须明确写出

若使用原生 setcookie(),需严格按七参数顺序传入,第七个参数即为 $httponly

setcookie('user_id', '123', 0, '/', '', true, true);

三、底层强制 Session Cookie 启用 HttpOnly

TP5.1 默认未开启 PHP 原生 session 的 HttpOnly,而 session ID 通常是最关键的攻击目标。需从 PHP 运行层加固:

  • 执行 php --ini 查看当前生效的 php.ini 路径
  • 编辑该文件,找到并修改:session.cookie_httponly = 1
  • 保存后重启 PHP-FPM(如 kill -USR2 $(cat /var/run/php-fpm.pid))或 Web 服务

此配置影响所有 session_start() 产生的会话 Cookie,无需改代码,防御更彻底。

四、配合 XSS 入口过滤(非替代,而是协同)

HttpOnly 只防 Cookie 窃取,不防脚本执行本身。TP5.1 中应同步做好输入输出防护:

  • 无富文本场景:在 config.php 中配置 'default_filter' => 'htmlspecialchars'
  • 有富文本场景:用 htmlpurifier 白名单过滤,避免误杀样式与标签
  • 模板中渲染变量时,统一加 |htmlspecialchars 或使用 {:htmlspecialchars($data)}

仅靠 HttpOnly 不够,仅靠过滤也不稳——两者叠加才能形成纵深防御。

热门栏目