Fatal编程技术网
  • php/
  • Php 如何在用户';s页?

Php 如何在用户';s页?

php javascript cookies login

Php 如何在用户';s页?,php,javascript,cookies,login,alert,Php,Javascript,Cookies,Login,Alert,我有一个脚本(由我编程),在这个脚本中,访问者可以注册和登录(用户信息存储在cookies中)。。。注册后,他们可以编辑个人页面。。问题:此页面接受javascript代码,任何人都可以使用document.cookie获取cookie:( 我试图创建正则表达式来清除用户页面上的document.cookie标记,但这不是一个好的解决方案,因为用户可以放置:并在filejs.js中写入,例如,此代码警报(document.cookie);,此代码将无法清除 会话已保存,但长时间未保存(time(

我有一个脚本(由我编程),在这个脚本中,访问者可以注册和登录(用户信息存储在cookies中)。。。注册后,他们可以编辑个人页面。。问题:此页面接受javascript代码,任何人都可以使用document.cookie获取cookie:(

我试图创建正则表达式来清除用户页面上的document.cookie标记,但这不是一个好的解决方案,因为用户可以放置:
并在filejs.js中写入,例如,此代码
警报(document.cookie);
,此代码将无法清除

会话已保存,但长时间未保存(
time()+60*24*300
):(

谢谢。

你为什么试图阻止用户看到他们自己的cookie?他们已经可以了,cookie存储在他们的计算机上

如果您想阻止某人将脚本放入您的页面,请使用从输入中删除HTML,或将其显示为纯文本。

为什么要阻止用户看到自己的cookie?他们已经可以了,cookie存储在他们的计算机上

如果您想阻止他人将脚本放入您的页面,请使用从输入中删除HTML,或将其显示为纯文本。

让用户在页面中包含JavaScript时很难保证安全。您无法通过正则表达式自己实现这一点。您需要使用重量级解决方案艾克

撇开其他安全问题不谈,您可以保护cookie不受JavaScript的影响。您可以通过在PHP中使用它。

让用户在页面中包含JavaScript时很难做到安全。您无法通过正则表达式自己实现这一点。您需要使用像这样的重量级解决方案

除其他安全问题外,您还可以保护您的cookie不受JavaScript的影响。您可以在PHP中使用它。

防止JavaScript访问cookie的最佳方法是在cookie上设置标志。在PHP中,这可以使用ini指令应用于会话cookie。如果您使用设置cookie,则可以设置可选的
$httponly
参数设置为
TRUE

防止javascript访问cookie的最佳方法是在cookie上设置标志。在PHP中,这可以使用ini指令应用于会话cookie。如果您使用设置cookie,则可以将可选的
$httponly
参数设置为
TRUE
您无法阻止使用即使您删除了所有HTML等,用户也无法看到自己的cookie

他们所需要的只是带有实时http头的Firefox。正如另一张海报所提到的——当你给他们饼干时,为什么要把饼干从他们身上撕下来?

你不能阻止用户看到他们自己的饼干——即使你删除了所有的HTML等等

他们所需要的只是带有实时http头的Firefox。正如另一张海报所提到的——当你给他们饼干的时候,为什么要把饼干从他们身上撕下来

注册后,他们可以编辑个人页面。问题是:此页面接受javascript代码

所以要解决这个问题(例如,使用HTML净化剂,或者使用非HTML的标记语言)。你所描述的不是一个功能——这是一个严重的安全漏洞——而且不能通过调整会话来有效掩盖。这相当于重新安排泰坦尼克号上的躺椅

注册后,他们可以编辑个人页面。问题是:此页面接受javascript代码

所以要解决这个问题(例如,使用HTML净化剂,或者使用非HTML的标记语言)。您所描述的不是一个功能-这是一个严重的安全漏洞-并且无法通过调整会话来有效掩盖。这相当于重新安排泰坦尼克号上的躺椅。

是的,但他们可以将聊天框放入而不保存,例如,您在聊天中编写新消息,如下所示:document.location=“用户cookie插入您的站点,您可以访问他的帐户:sYes,但他们可以将聊天框置于不保存状态,例如,您在聊天中写入新消息,如下所示:document.location=";用户cookies插入你的网站,你可以访问他的帐户:如果我设置httponly=true,用户就无法使用javascript获取cookie???@Davidcoder:是的,但只有在较新的浏览器中,它在较旧的浏览器中不起作用。如果没有像Caja这样的东西,除了窃取cookies之外,还有其他方法可以破解你的网站。好吗将使用会话仅保存密码和cookies以保存用户名,并将会话生存时间编辑为一小时$\u COOKIE[“用户名”]$\u会话[“密码”]是否保存?@Davidcoder:可能没有。当您允许用户在您的站点上运行JavaScript时,可能会有大量不同的XSS攻击。详细信息取决于您的站点。有些站点提供的页面类似于……您可以使用JavaScript,但没有问题……请帮助meee:(如果我设置httponly=true,用户就无法使用javascript获取cookie???@Davidcoder:没错,但只有在较新的浏览器中,它在较旧的浏览器中不起作用。如果没有像Caja这样的东西,除了窃取cookie之外,还有其他方法可以入侵您的网站。好的,我将使用会话只保存密码和cookie以保存用户名和密码。)将会话生存时间编辑为小时$\u COOKIE[“用户名”]$\u会话[“密码”]是否保存?@Davidcoder:可能没有。当您允许用户在您的站点上运行JavaScript时,可能会有大量不同的XSS攻击。详细信息取决于您的站点。有些站点提供的页面类似于……您可以使用JavaScript,但没有问题……请帮助meee:(