PHP Cookie 安全设置 - 限制访问域名，防止被盗用 - 常规

PHP Cookie 安全设置 - 限制访问域名，防止被盗用

为了确保 Cookie 的安全性，我们需要采取措施防止其被其他网站盗用。PHP 提供了 HttpOnly 和 Secure 标志以及域名限制等安全机制，可以有效提升 Cookie 的安全性。

代码示例

以下代码示例展示了如何使用 PHP 代码对 Cookie 进行安全设置，确保其只能在当前域名下访问，并防止被其他网站盗用：

// 检查当前页面是否有已经设置的访问次数
$pageviews = isset($_COOKIE['pageviews']) ? intval($_COOKIE['pageviews']) : 0;

// 增加访问次数
$pageviews++;

// 检查cookie是否设置了HttpOnly标志
if (!isset($_COOKIE['pageviews']) || !ini_get('session.cookie_httponly')) {
  //如果未设置，则重新设置cookie，添加HttpOnly标志
  setcookie('pageviews', $pageviews, time() + 86400, '/', $_SERVER['SERVER_NAME'], true, true);
}

//检查cookie是否设置了Secure标志
if (!isset($_COOKIE['pageviews']) || !isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') {
  //如果未设置，则重新设置cookie，添加Secure标志
  setcookie('pageviews', $pageviews, time() + 86400, '/', $_SERVER['SERVER_NAME'], true, true);
}

//检查cookie的域名是否与当前域名一致
if (!isset($_COOKIE['pageviews']) || parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST) !== $_SERVER['SERVER_NAME']) {
  //如果不一致，则重新设置cookie，将域名限制为当前域名
  setcookie('pageviews', $pageviews, time() + 86400, '/', $_SERVER['SERVER_NAME'], true, true);
}

// 将访问次数保存到cookie中，有效期为一天
setcookie('pageviews', $pageviews, time() + 86400);

// 判断访问次数是否超过10次，如果超过则跳转至1.html页面
if ($pageviews > 10) {
  header('Location: https://example.com/1.html');
  exit;
}

// 输出访问次数
echo '这个页面已经被访问了 ' . $pageviews . ' 次。';

代码解释

设置 HttpOnly 标志: 使用 ini_get('session.cookie_httponly') 检查是否已经设置了 HttpOnly 标志，如果没有则通过 setcookie 函数重新设置 Cookie，并添加 HttpOnly 标志。HttpOnly 标志可以防止 JavaScript 代码访问 Cookie，有效提升安全系数。
设置 Secure 标志: 通过 isset($_SERVER['HTTPS']) 检查是否在 HTTPS 环境下运行，如果不是则重新设置 Cookie，并添加 Secure 标志。Secure 标志可以保证 Cookie 只能通过 HTTPS 协议传输，防止被窃取。
限制 Cookie 访问域名: 使用 parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST) 获取访问页面的域名，并与当前域名进行比较。如果不一致，则重新设置 Cookie，将域名限制为当前域名，防止其他网站访问 Cookie。

通过以上代码示例，可以有效提高 Cookie 的安全性，防止被其他网站盗用。在实际应用中，还需要根据具体的业务需求，选择合适的安全措施。