我知道以前有人问过这个问题,但我需要一些澄清和确认。我在创建 cookie 时被告知要使用 httponly 来防止 XSS。
所以我要澄清的是,如果我使用 httponly,我通过 ajax 请求访问的 php 脚本是否仍然能够确定我的活动 php 会话(默认值:phpssessid)并检索我的 $_SESSION 变量?
问题是我没有使用 httponly 选项进行设计,我担心添加该选项是否会以任何方式影响脚本的设计。
谢谢!
问问题
639 次
1 回答
1
我不确定我是否得到了这个问题,但这里有一个问题:你需要在你从 ajax 调用的脚本上设置会话,就像你在主页上所做的那样。例如,我在主页中“包含”了一个文件,以及我使用 ajax 从该页面调用的任何内容。
所以,我的 index.php 的顶部有
<?php include "db.php"; ?><!DOCTYPE...
我的 ajax_helper.php 文件顶部的相同内容
<?php include "db.php"; ?>
db.php 文件包含 mysql 启动命令、session_start 以及站点上所有页面共有的任何其他内容。这样,会话可以在任何地方工作。
我希望这是有道理的并回答你的问题
于 2010-07-29T03:50:41.253 回答