1.什么是HttpOnly?
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
具体一点的介绍请google进行搜索
2.javaEE的API是否支持?
目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现
3.HttpOnly的设置样例
javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取
Cookie cookies[]=request.getCookies();
C#
HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
VB.NET
Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)
但是在 .NET 1.1
,中您需要手动添加
Response.Cookies[cookie].Path += ";HTTPOnly";
PHP4
header("Set-Cookie: hidden=value; httpOnly");
PHP5
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性
参考
http://www.owasp.org/index.php/HTTPOnly
分享到:
相关推荐
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
为了对抗这种攻击,HttpOnly属性应运而生。本文将详细介绍HttpOnly属性的作用,以及Java和PHP后台如何设置HttpOnly属性到浏览器的Cookie。 **HttpOnly属性详解** HttpOnly属性是Cookie的一个扩展,其主要目的是...
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
完整获取webBrowser1的Cookie HttpOnly的Cookie
本文将深入探讨如何使用Express中间件来保护用户cookie,通过设置`HttpOnly`标志以及添加标记检查,以增强应用程序的安全性。 首先,理解`HttpOnly`标志至关重要。`HttpOnly`是服务器在设置cookie时可以添加的一个...
"了解 .net 获取浏览器 Cookie(包括 HttpOnly)实例分享" 在本文中,我们将探讨如何在 .net 环境中获取浏览器 Cookie,包括 HttpOnly 类型的 Cookie。 HttpOnly Cookie 是一种特殊类型的 Cookie,用于保护用户的...
Cookie 的 HttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
Cookie 路径属性安全设置 ...然而,在某些情况下,Cookie 中的路径属性可能会泄露项目路径,导致安全风险。本文将介绍如何解决 Cookie 路径属性暴露问题。 Cookie 路径属性的危险 在服务器中的项目中,如果 Cookie...
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
标题中提到的关键知识点是“.NET 获取浏览器Cookie(包括HttpOnly)实例分享”。描述部分强调这是一个实例分享,说明了文章将提供一个具体的.NET环境下获取浏览器中Cookie的方法,包括那些标记为HttpOnly的Cookie。...
In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1. This feature is a new attribute for cookies which prevents them from...
HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置Cookie的HTTPOnly属性。 HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是...
为防御XSS攻击,开发者通常会采取各种安全措施,其中使用HttpOnly属性是一种有效手段。HttpOnly是一个安全机制,可以用来防止跨站脚本攻击窃取Cookie。当Cookie被设置为HttpOnly后,客户端JavaScript代码将无法读取...
来源:
CSRF防护:HTTPOnly与Secure标志使用.docx
**描述分析:**描述指出我们需要关注如何在MVC应用中安全地读写Cookie,并利用Cookie的`HttpOnly`属性来防范通过jQuery或其他JavaScript库进行的跨站脚本(XSS)攻击。`HttpOnly`标记是一个重要的安全特性,它可以...
.httpOnly: true, // 防止JavaScript访问 .expires: Date(timeIntervalSinceNow: 3600 * 24 * 365) // 有效期一年 ]) if let cookieStore = WKHTTPCookieStore.shared { cookieStore.setCookie(cookie!) { _ in ...
此存储库包含示例体系结构,这些体系结构用于在使用HttpOnly cookie时在Next.js中检测用户的身份验证状态客户端。 开发它是为了支持两个博客文章: 。 本示例使用getInitialProps并提供两种版本: 。