让你的web应用更安全-php教程-PHP中文网

让你的web应用更安全

php中文网

发布： 2016-06-20 12:33:24

原创

1016人浏览过

x-frame-options
cookie of secure and httponly

设置x-frame-options

https://developer.mozilla.org/en-us/docs/web/http/x-frame-options

x-frame-options 主要是为了防止点击劫持(clickjacking)点击劫持（clickjacking）是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。x-frame-options http 头部字段用来指示传输的资源是否可以被包含在或中，服务端可以声明这个策略来确保自己的网页内容不会被嵌入到其他的页面中．<strong>x-frame-options</strong>　具有３个具体的值：

DENY表明网页内容不可以被嵌入到任何frame中
SAMEORIGIN同源策略，声明网页内容可以被同一域下面的frame嵌入，但不能被不在同一域下面的frame嵌入．同源：协议，域名和端口全部相同，即使是ip与域名对应，也认为是不同域下，下面说明了具体的情况，与： http://www.example.com/dir/page.html对比：

Compared URL	Outcome	Reason
http://www.example.com/dir/page2.html	同源	协议主机端口相同
http://www.example.com/dir2/other.html	同源	协议主机端口相同
http://username:password@www.example.com/dir2/other.html	同源	协议主机端口相同
http://www.example.com:81/dir/other.html	不同源	端口不同
https://www.example.com/dir/other.html	不同源	协议不同
http://en.example.com/dir/other.html	不同源	主机名不同
http://example.com/dir/other.html	不同源	主机不同，必须完全匹配
http://v2.www.example.com/dir/other.html	不同源	主机不同，必须完全匹配
http://www.example.com:80/dir/other.html	Depends	Port explicit. Depends on implementation in browser

ALLOW-FROM指定具体的来源

服务器配置

Apache

添加站点配置：

Header always append X-Frame-Options SAMEORIGIN

登录后复制

Nginx

添加 http , server 或者　location 配置

add_header X-Frame-Options SAMEORIGIN;

登录后复制

IIS

添加到站点的 Web.config

<system.webServer>  ...  <httpProtocol>    <customHeaders>      <add name="X-Frame-Options" value="SAMEORIGIN" />    </customHeaders>  </httpProtocol>  ...</system.webServer>

登录后复制

HAProxy

添加到 frontend, listen, 或者 backend 配置中:

rspadd X-Frame-Options:\ SAMEORIGIN

登录后复制

更安全的Cookie

Cookie 是浏览器储存在客户端的小的文本文件，用于客户端与服务器之间互传．Web服务器通过指定 http header 的 Set-Cookie, 其结构如下：

Set-Cookie: name=value[; expires=date][; domain=domain][; path=path][; secure][; httpOnly]

登录后复制

可以看到，Cookie主要包含一下几个字段：

name
value
expire
domain
path
secure
httpOnly

这里主要讲secure 和 httpOnly

httpOnly标识

用来告诉浏览器不能通过JavaScript的 document.cookie 来访问 cookie, 目的是避免 跨站脚本攻击 (XSS)

secure标识

强制应用通过Https来传输 Cookie

PHP Yii2中设置Cookie的 httpOnly 和 secure

设置 _csrf

Yii2中的 Cookie yii\web\Cookie默认是 httpOnly的,

class Cookie extends \yii\base\Object{     public $name;    public $value = '';    public $domain = '';    public $expire = 0;    public $path = '/';    public $secure = false;    public $httpOnly = true;}

登录后复制

使用 = Html::csrfMetaTags() ?> 就会生成一个 name=_csrf 的 Cookie, 默认是 httpOnly, 通过注入request来改变:

在 config/main.php 中

    ...    'components' => [        'request' => [            'csrfCookie' => [                'httpOnly' => true,                'secure'   => SECURE_COOKIE,            ],        ],    ...    ]    ...

登录后复制

注入 csrfCookie 的 httpOnly 和 secure 属性值

生成secure的 Cookie

$cookies = Yii::$app->response->cookies;$cookies->add(new Cookie([    'name' => 'accesstoken',     'value' => $accessToken,     'expire' => time() + Token::EXPIRE_TIME,     'secure' => SECURE_COOKIE    ]));

登录后复制

注意更新 Cookie 的时候也需要更新 secure 属性

$cookies = Yii::$app->request->cookies;if (($cookie = $cookies->get('accesstoken')) !== null) {    $cookie->secure = SECURE_COOKIE;    // 这里很重要, 不然就会丢失    $cookie->expire = time() + Token::EXPIRE_TIME;    Yii::$app->response->cookies->add($cookie);}

登录后复制