-
XSS 취약점을 이용한 쿠키 탈취 예방(feat. php)프로그래밍팁/php 2019. 6. 25. 22:17
보안을 위해 쿠키에는 중요한 데이터를 포함하지 않는 것이 원칙입니다.
하지만 불가피하게 필요에 따라 중요한 정보가 담기는 경우가 있거나, 담긴 데이터를 보호해야할 때가 있습니다.
우리는 이럴 때 secure와 httpOnly를 사용해야 합니다.
httpOnly
- 브라우저와 서버간의 요청시에만 쿠키 전송
- document.cookie 명령어로 쿠키를 호출하는 것을 차단
secure
- 네트워크에서 통신 중 쿠키를 훔쳐가는 행위 차단
- https 필요
다수의 개발자가 php에서 쿠키를 저장할때 아래와 같이 사용합니다.
setcookie('name','value',time()+3600,'/','domain.com');
위의 경우 해커에게 쿠키를 탈취 당하기 쉽습니다.
그래서 우리는 이제 아래와 같이 해야 합니다.
setcookie('name','value',time()+3600,'/','domain.com',ture,ture);
6번째 매개변수는 secure를 사용여부를 설정 합니다. (default : false)
7번째 매개변수는 httponly를 사용여부를 설정 합니다. (default : false)
copyright 2019. 워크식스
워크식스
PHP 웹솔루션 개발 전문 워크식스, 커스터마이징, 프로그램 개발, 웹 퍼블리싱
work6.kr
'프로그래밍팁 > php' 카테고리의 다른 글
codeigniter 에 kcp 설치 시 한글 깨짐 해결 방법 (0) 2021.11.16 XSS 취약점을 이용한 쿠키 탈취 예방(feat. php) (0) 2019.06.25 fastcgi_finish_request() for php (0) 2019.06.25 php curl post 통신 (0) 2018.06.17 마젠토2 환경에 맞는 서버 추천 리스트 (0) 2018.01.25 skytemplate 간단 메뉴얼 (0) 2017.12.29