`

有关cookie的httponly属性相关

 
阅读更多

先记录下相关网上的链接,有时间自己再总结一份自己的理解

 

http://en.wikipedia.org/wiki/HTTP_cookie

 

http://www.cnblogs.com/downmoon/archive/2008/09/11/1289298.html

 

http://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.httponly.aspx

 

http://msdn.microsoft.com/zh-cn/library/ms533046(vs.85).aspx

 

http://www.storyday.com/html/y2008/2120_javascript-and-httponly-cookies.html

 

对于很多只依赖于cookie验证的网站来说,HttpOnly cookies是一个很好的解决方案,在支持HttpOnly cookies的浏览器中(IE6以上,FF3.0以上),javascript是无法读取和修改HttpOnly cookies,或许这样可让网站用户验证更加安全。

wikipedia中对于httpOnly的描述如下:

`HttpOnly’:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly

When the browser receives such a cookie, it is supposed to use it as usual in the following HTTP exchanges, but not to make it visible to client-side scripts.[21] The `HttpOnly` flag is not part of any standard, and is not implemented in all browsers. Note that there is currently no prevention of reading or writing the session cookie via a XMLHTTPRequest.[36]

所以,若是网站基于cookie而非服务器端的验证,请最好加上HttpOnly,当然,目前这个属性还不属于任何一个标准,也不是所有的浏览器支持,另外知名的wordpress程序也已经更改了cookie的属性为httpOnly。

javascript无法读取HttpOnly cookies,若想在js中获取cookie的属性该如何处理呢?

cosbeta也没有什么比较好的办法,所以只有告诉大家都绝招:还得动用服务器端脚本读出cookie,然后用输出js代码,或者用ajax去获取服务器端程序读出的cookie值。

于是cos-html-cache因此升级了。

 

----------------------------------------------------

 

https://www.owasp.org/index.php/HTTPOnly

 

这个链接介绍的很详细:摘抄如下

 

The goal of this section is to introduce, discuss, and provide language specific mitigation techniques for HttpOnly.

Who developed HttpOnly? When?

According to a daily blog article by Jordan Wiens, “No cookie for you!,” HttpOnly cookies were first implemented in 2002 by Microsoft Internet Explorer developers for Internet Explorer 6 SP1. Wiens, [1]

What is HttpOnly?

According to the Microsoft Developer Network, HttpOnly is an additional flag included in a Set-Cookie HTTP response header. Using the HttpOnly flag when generating a cookie helps mitigate the risk of client side script accessing the protected cookie (if the browser supports it).

  • The example below shows the syntax used within the HTTP response header:
Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]

If the HttpOnly flag (optional) is included in the HTTP response header, the cookie cannot be accessed through client side script (again if the browser supports this flag). As a result, even if a cross-site scripting (XSS) flaw exists, and a user accidentally accesses a link that exploits this flaw, the browser (primarily Internet Explorer) will not reveal the cookie to a third party.

If a browser does not support HttpOnly and a website attempts to set an HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus creating a traditional, script accessible cookie. As a result, the cookie (typically your session cookie) becomes vulnerable to theft of modification by malicious script. Mitigating, [2]

Mitigating the Most Common XSS attack using HttpOnly

According to Michael Howard, Senior Security Program Manager in the Secure Windows Initiative group at Microsoft, the majority of XSS attacks target theft of session cookies. A server could help mitigate this issue by setting the HTTPOnly flag on a cookie it creates, indicating the cookie should not be accessible on the client.

If a browser that supports HttpOnly detects a cookie containing the HttpOnly flag, and client side script code attempts to read the cookie, the browser returns an empty string as the result. This causes the attack to fail by preventing the malicious (usually XSS) code from sending the data to an attacker's website. Howard, [3]

Using Java to Set HttpOnly

Sun Java EE supports HttpOnly flag in Cookie interface since version 6 (Servlet class version 3)[4], also for session cookies (JSESSIONID)[5]. Methods setHttpOnly and isHttpOnly can be used to set and check for HttpOnly value in cookies.

For older versions there the workaround is to rewrite JSESSIONID value using and setting it as a custom header[6].

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

In Tomcat 6 flag useHttpOnly=True in context.xml to force this behaviour for applications[7], including Tomcat-based frameworks like JBoss[8].

Servlet 3.0 (Java EE 6) introduced a standard way to configure HttpOnly attribute for the session cookie, this can be done by applying the following configuration in web.xml

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
<session-config>

 

 

目前发现tomcat6的该属性缺省是false,在context.xml里配置,weblogic10.3.1,10.3.2不支持该属性的配置,只能编码写,weblogic10.3.3,

10.3.4,10.3.5支持在weblogic.xml里配置该属性,切缺省值为true

 

JAVAEE从6.0支持专门的setHttpOnly和isHttpOnly方法,即servlet3.0规范中添加了这两个方法得API,在此以前的版本只能用response.setHeader("SET-COOKIE,...")的方式来支持,另外还需要看浏览器对httpOnly的支持,IE从6开始支持,其它版本在上面引入的链接里写的很清楚。

分享到:
评论
1 楼 xuxiaoyinliu 2015-11-30  
谢谢,不错哦

相关推荐

    cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie值

    HttpOnly属性是Cookie的一个扩展,其主要目的是增强对XSS攻击的防护。当一个Cookie被设置为HttpOnly时,JavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页中存在XSS漏洞,恶意...

    Session Cookie的HttpOnly和secure属性

    首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...

    cookie设置httpOnly和secure属性实现及问题

    ### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...

    PHP设置Cookie的HTTPONLY属性方法

    HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置Cookie的HTTPOnly属性。 HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是...

    Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在

    `HttpOnly`是服务器在设置cookie时可以添加的一个属性,其主要目的是防止客户端脚本(如JavaScript)访问或修改该cookie。这是因为很多跨站脚本攻击(XSS)都试图通过JavaScript获取或篡改用户的cookie信息,从而...

    httpwebreqeust读取httponly的cookie方法

    在Web开发中,Cookie是服务器发送到客户端浏览器并存储的一小块数据,用于跟踪用户状态和存储相关信息。然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,...

    Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly

    Cookie 路径属性安全设置 Cookie 是 HTTP 协议中的一种机制,用于在客户端保存服务器端的信息,以便服务器端可以追踪用户的行为。然而,在某些情况下,Cookie 中的路径属性可能会泄露项目路径,导致安全风险。本文...

    .net 获取浏览器Cookie(包括HttpOnly)实例分享

    HttpOnly属性是一种安全特性,用于防止客户端脚本访问Cookie,从而降低某些类型的跨站脚本攻击(XSS)的风险。 在.NET中获取HttpOnly Cookie通常较为困难,因为HttpOnly属性就是用来防止脚本访问的。但是.NET ...

    mvc中cookie安全

    3. **HttpOnly属性**:`HttpOnly`属性是为防止XSS攻击而引入的。如果一个Cookie被标记为`HttpOnly`,那么JavaScript代码(包括jQuery)将无法通过`document.cookie`访问它。这限制了攻击者通过注入恶意脚本来窃取...

    Cookie属性及操作大全

    本文将深入探讨Cookie的属性及操作,帮助你全面理解并掌握Cookie的相关知识。 一、Cookie的基本概念 Cookie是由服务器端发送到客户端(浏览器)的一小段文本信息,存储在用户的本地硬盘上。每当用户再次访问同一...

    Cookie 实现WebView自动登录

    Cookie主要包含以下属性: 1. Name:Cookie的唯一标识。 2. Value:与Name对应的值。 3. Domain:指定Cookie作用的域名,只有向该域名发送请求时才会携带此Cookie。 4. Path:限制Cookie在指定路径下生效。 5. ...

    session配置secure和httpOnly

    本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...

    cookie机制

    - **HttpOnly属性**:该属性用于阻止客户端脚本访问Cookie,从而减少XSS攻击的风险。 - **SameSite属性**:用于防止跨站点请求伪造(CSRF)攻击。 ### Cookie的编程实现 在编程中,可以根据不同的语言和框架设置和...

    xss防御之php利用httponly防xss攻击

    这样设置后,发送到客户端的Cookie会带有HttpOnly属性。 需要注意的是,HttpOnly虽然可以有效防止XSS攻击窃取Cookie,但它并不能解决所有XSS攻击的问题。例如,反射型XSS和DOM型XSS攻击往往不依赖于Cookie,因此...

    js操作cookie

    这是一个封装好的js对象函数,用于对cookie的增删改查。

    cookie产生与认证

    - HttpOnly属性:启用HttpOnly可以防止JavaScript代码访问Cookie,减少跨站脚本攻击(XSS)的风险。 - Max-Age和Expires:控制Cookie的有效期,避免长期存储在客户端,保护用户隐私。 总结来说,Cookie是Web应用中...

    Net Cookie操作读取数据

    可以通过设置HttpOnly属性防止JavaScript访问Cookie,以降低XSS攻击风险;设置Secure属性确保Cookie只在HTTPS连接中传输,增加安全性。 七、Cookie管理最佳实践 1. 限制Cookie大小:每个Cookie的大小不应超过4KB,...

    cookie的secure属性详解

    Cookie是Web应用中用于存储用户状态的一种机制,它在客户端与服务器之间传递信息,常见的应用场景包括用户登录状态的保持、个性化...同时,结合HTTPOnly属性,可以进一步防止JavaScript注入攻击,增强Cookie的安全性。

    javascript cookie 操作框架 XCookie

    5. **设置Cookie的安全性和HTTPOnly属性**:为了增强安全性,XCookie支持设置cookie的HTTPOnly属性,防止JavaScript脚本被恶意篡改。同时,可以标记为安全cookie,确保它们仅通过HTTPS传输。 6. **过期时间处理**:...

Global site tag (gtag.js) - Google Analytics