在Apache中使用HttpOnly和Secure标志的安全cookie

使用HTTPOnly和Secure标志来保护网站免受XSS攻击。

你知道吗，你可以使用cookie的HttpOnly和Secure标志来减轻大多数常见的XSS攻击吗？

XSS是危险的。鉴于日益增多的XSS攻击，你必须考虑securing your web applications。

如果在HTTP响应头中没有设置HttpOnly和Secure标志，就有可能窃取或操纵Web应用程序的会话和cookie。

最好在应用程序代码中管理这个问题。然而，由于开发人员的不知情，这就落到了Web服务器管理员的头上。

我不会讲述如何在代码级别上设置这些。你可以参考here。

在Apache中的实现过程

• 确保在Apache HTTP服务器中启用了mod_headers.so
• 在httpd.conf中添加以下条目

Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

• 重新启动Apache HTTP服务器进行测试

注意：Header edit与lower than Apache 2.2.4 version不兼容。

您可以使用以下方法在低于2.2.4版本的情况下设置HttpOnly and Secure标志。感谢Ytse分享此信息。

Header set Set-Cookie HttpOnly;Secure

验证

您可以利用浏览器的内置开发工具来检查响应头，或使用一个online tool。

有帮助吗？

这是众多hardening things to do in Apache之一。