HttpOnly - 翻过这座山，就到菩提洞了 - ITeye博客

`

javafan_303

浏览: 957763 次
性别:
来自: 北京

最近访客更多访客>>

perfect_control

wuzijingaip

yuanfen2014

pcpig

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

baichoufei90： hadoop权威指南说ZK的zab协议不是用的paxos算法。 ...
zookeeper原理（转）
shin1355：看了一小部分，看不下去了，
zookeeper原理（转）
b_l_east：表示没看懂楼主关于选举算法的描述，顿时没了读下去的兴致
zookeeper原理（转）
prince4426：好前沿的技术呀
hive选型讨论
zk519720303：
zookeeper原理（转）

HttpOnly

博客分类：

方案流程图及架构

JavaEE VB VB.NET PHP 脚本

阅读更多

1.什么是HttpOnly?

如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击

具体一点的介绍请google进行搜索

2.javaEE的API是否支持?

目前sun公司还没有公布相关的API，但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了，别急下文有变通实现

3.HttpOnly的设置样例

javaEE

response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

具体参数的含义再次不做阐述，设置完毕后通过js脚本是读不到该cookie的，但使用如下方式可以读取

Cookie cookies[]=request.getCookies();

C#

HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);

VB.NET

Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

但是在 .NET 1.1 ,中您需要手动添加

Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4

header("Set-Cookie: hidden=value; httpOnly");

PHP5

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

最后一个参数为HttpOnly属性

参考

http://www.owasp.org/index.php/HTTPOnly

5
顶

0
踩

分享到：

近期文档总结计划 | 在线用户列表的常见实现方案及缺点

2009-03-27 21:32
浏览 9271
评论(0)
分类:企业架构
查看更多

评论

发表评论

文章已被作者锁定，不允许评论。

相关推荐

cookie设置httpOnly和secure属性实现及问题: ### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言在现代Web开发中，保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...

cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击.zip_js设置cookie值: 为了对抗这种攻击，HttpOnly属性应运而生。本文将详细介绍HttpOnly属性的作用，以及Java和PHP后台如何设置HttpOnly属性到浏览器的Cookie。 **HttpOnly属性详解** HttpOnly属性是Cookie的一个扩展，其主要目的是...

session配置secure和httpOnly: 本文重点讨论的是Cookie中的两个重要属性：`secure`和`httpOnly`，以及它们在实际应用中的配置和注意事项。一、属性详解 1. `secure`属性：当设置为`true`时，Cookie只会通过HTTPS安全协议发送到服务器。这意味着...

Session Cookie的HttpOnly和secure属性: 如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。对于以上两个属性，首先，secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，...

完整获取webBrowser1.Document.Cookie取不到HttpOnly的Cookie: 完整获取webBrowser1的Cookie HttpOnly的Cookie

Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在: 本文将深入探讨如何使用Express中间件来保护用户cookie，通过设置`HttpOnly`标志以及添加标记检查，以增强应用程序的安全性。首先，理解`HttpOnly`标志至关重要。`HttpOnly`是服务器在设置cookie时可以添加的一个...

.net 获取浏览器Cookie(包括HttpOnly)实例分享.docx: "了解 .net 获取浏览器 Cookie（包括 HttpOnly）实例分享" 在本文中，我们将探讨如何在 .net 环境中获取浏览器 Cookie，包括 HttpOnly 类型的 Cookie。 HttpOnly Cookie 是一种特殊类型的 Cookie，用于保护用户的...

第九节 cookie的httponly设置-01: Cookie 的 HttpOnly 设置详解 Cookie 是一种小型文本文件，由 Web 服务器保存在用户浏览器（客户端）上，用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息，如...

Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly: Cookie 路径属性安全设置 ...然而，在某些情况下，Cookie 中的路径属性可能会泄露项目路径，导致安全风险。本文将介绍如何解决 Cookie 路径属性暴露问题。 Cookie 路径属性的危险在服务器中的项目中，如果 Cookie...

httpwebreqeust读取httponly的cookie方法: 然而，有些Cookie被标记为`HttpOnly`，这意味着它们不能通过JavaScript等客户端脚本语言访问，以增加安全性，防止XSS（跨站脚本攻击）对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie，...

.net 获取浏览器Cookie(包括HttpOnly)实例分享: 标题中提到的关键知识点是“.NET 获取浏览器Cookie（包括HttpOnly）实例分享”。描述部分强调这是一个实例分享，说明了文章将提供一个具体的.NET环境下获取浏览器中Cookie的方法，包括那些标记为HttpOnly的Cookie。...

Retrieve HttpOnly Session Cookie in WebBrowser: In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1. This feature is a new attribute for cookies which prevents them from...

PHP设置Cookie的HTTPONLY属性方法: HTTPOnly属性的引入就是为了增强Cookie的安全性，防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置Cookie的HTTPOnly属性。 HTTPOnly属性是由微软在IE6 SP1中首先引入的，目的是...

xss防御之php利用httponly防xss攻击: 为防御XSS攻击，开发者通常会采取各种安全措施，其中使用HttpOnly属性是一种有效手段。HttpOnly是一个安全机制，可以用来防止跨站脚本攻击窃取Cookie。当Cookie被设置为HttpOnly后，客户端JavaScript代码将无法读取...

0x3x0xa#Penetration_Testing_POC-1#通过phpinfo获取cookie突破httponly1: 来源：

CSRF防护：HTTPOnly与Secure标志使用.docx: CSRF防护：HTTPOnly与Secure标志使用.docx

mvc中cookie安全: **描述分析：**描述指出我们需要关注如何在MVC应用中安全地读写Cookie，并利用Cookie的`HttpOnly`属性来防范通过jQuery或其他JavaScript库进行的跨站脚本（XSS）攻击。`HttpOnly`标记是一个重要的安全特性，它可以...

Cookie 实现WebView自动登录: .httpOnly: true, // 防止JavaScript访问 .expires: Date(timeIntervalSinceNow: 3600 * 24 * 365) // 有效期一年 ]) if let cookieStore = WKHTTPCookieStore.shared { cookieStore.setCookie(cookie!) { _ in ...

nextjs-client-auth-architectures:使用HttpOnly cookie时在Next.js中检测用户的身份验证状态客户端的示例体系结构: 此存储库包含示例体系结构，这些体系结构用于在使用HttpOnly cookie时在Next.js中检测用户的身份验证状态客户端。开发它是为了支持两个博客文章：。本示例使用getInitialProps并提供两种版本：。

Global site tag (gtag.js) - Google Analytics