Cookie的HttpOnly、secure、domain属性

最新推荐文章于 2024-01-15 09:56:37 发布
最新推荐文章于 2024-01-15 09:56:37 发布
阅读量379 收藏
点赞数
原文链接:http://www.cnblogs.com/amyzhu/p/9678489.html
版权

Cookie主要属性

Cookie主要属性:
  • path
  • domain
  • max-age
  • expires:是expires的补充,现阶段有兼容性问题:IE低版本不支持,所以一般不单独使用
  • secure
  • httponly
    • JS不能读写HttpOnly Cookie
  • 属性之间使用英文分号和空格("; ")连接
浏览器存放cookie包含的字段:
  • name、value
  • expiry-time:由Cookie中的expires和max-age产生
  • domain、path
  • creation-time、last-access-time
  • persistent-flag:持久化标记,默认为false,表示是session cookie
  • secure-only-flag
  • http-only-flag
  • host-only-flag:Cookie中不包含Domain属性或者Domain为空或者不合法时为true。

HttpOnly属性——防止程序获取cookie后进行攻击

  • 如果Cookie中设置了HttpOnlhy属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,能有效的防止XSS攻击。

Secure——防止信息传输过程中的泄露

  • true —— 只能在HTTPS连接中传输,HTTP连接不会传输,所以不会被窃取到Cookie的具体内容
  • false —— HTTP、HTTPS连接都可以传输

domain域名带.与否的区别

  • 若domain不带点,只有当前域名的服务器可以获取到cookie,子域名拿不到cookie
  • 若domain带点,当前域名&子域名都可以拿到cookie
  • Chrome——如果显示声明,不管domain带不带点,都是带点存储;只有非显示声明domain的cookie,浏览器存储才是不带点
  • Session Cookie是没有expiry date的,会话结束也会一并删除。

转载于:https://www.cnblogs.com/amyzhu/p/9678489.html

LJLLJL20020628
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
backerli的博客
09-25 5077
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
关于Cookie中的Path和domain
热门推荐
WYZSC的专栏
06-04 1万+
关于Cookie中的Path和domainPath – 路径。指定与cookie关联的WEB页。值可以是一个目录,或者是一个路径。 如果http://www.china.com/test/index.html 建立了一个cookie,那么在http://www.china.com/test/目录里的所有页面,以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说,
AppScan安全扫描:加密会话(SSL)Cookie中缺少Secure、会话 cookie 中缺少 HttpOnly 属性
爱兰河少
01-30 4250
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
Cookie属性secure、httponly
weixin_44843710的博客
12-02 1464
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
增多 cookie 安全性添加HttpOnlysecure属性
pingdiyishenglei的专栏
03-29 7187
增加 cookie 安全性添加HttpOnlysecure属性   一、属性说明:   1 secure属性   当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。   2 HttpOnly属性
Cookie属性及操作大全
09-25
6. 安全性(Secure):如果设置此属性Cookie只会在HTTPS安全连接下发送。 7. 只读(HttpOnly):如果设置此属性Cookie将不能通过JavaScript访问,防止XSS攻击。 三、Cookie的操作 1. 创建Cookie:服务器通过Set...
php中cookie的使用方法
12-19
setcookie($cookieName, $value, $expire, $path, $domain, $secure, $httpOnly); ``` - `$cookieName`:Cookie的名称。 - `$value`:Cookie的值。 - `$expire`:Cookie的过期时间,通常为Unix时间戳,若不设置则...
Cookie 小记
09-05
除了过期时间,还可以通过设置Cookie的`Domain`和`Path`属性来限制其作用范围,以及使用`HttpOnly`和`Secure`标志来增强安全性。`HttpOnly`防止JavaScript访问Cookie,减少XSS攻击的风险,`Secure`标志则要求Cookie...
Go语言Cookie用法分析
09-21
这个结构体定义了Cookie的主要属性: ```go type Cookie struct { Name string Value string Path string Domain string Expires time.Time RawExpires string MaxAge int Secure bool HttpOnly bool Raw...
python selenium操作cookie的实现
12-20
Cookie属性包括: 1. Domain(域):定义Cookie可以被哪些域名或子域名访问。若未指定,将默认为创建Cookie时的主域名。 2. Path(路径):限制Cookie在哪个URL路径下有效。 3. Expiration Time/Max-Age(有效期...
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
Cookie常用属性
初漾的博客
10-13 1942
参考:http://www.studyofnet.com/news/1053.html
CookieSecure和HttpOnly属性) JSESSIONID 刷新
Mr.Chen的博客
01-03 4130
目录 一:CookieSecure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 刷新 一:CookieSecure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出...
Linux下如何检测内存泄漏
我有一个梦想
04-30 2472
Valgrind通常用来成分析程序性能及程序中的内存泄露错误 一 Valgrind工具集简绍 Valgrind包含下列工具:     1、memcheck:检查程序中的内存问题,如泄漏、越界、非法指针等。     2、callgrind:检测程序代码的运行时间和调用过程,以及分析程序性能。     3、cachegrind:分析CPU的cache命中率、丢失率,用于进行代码优化。
Cookie属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 894
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
计算机网络 HTTP实体,Cookie,其他首部字段
许诗宇的博客
12-03 862
目录 实体首部字段 Allow Content-Encoding Content-Language Content-Length Content-Location Content-MD5 Content-Range Content-Type Expires Last-Modified 为Cookie服务的首部字段 Set-Cookie Cookie 其他首部字段 ...
会话Cookie未设置Secure属性漏洞
最新发布
my的博客
01-15 2494
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
关于相同domain下的cookie设置secure为true的时候,无法登录的问题
weixin_42498253的博客
08-10 1361
cookiesecure属性
加密会话(ssl)cookie 中缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 936
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie与会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
cookie属性
06-02
cookie属性可以设置多个,以下是常见的 cookie 属性: 1. `name`:cookie 的名称。 2. `value`:cookie 的值。 3. `domain`:cookie 可用的域名。 4. `path`:cookie 可用的路径。 5. `expires`:cookie 的过期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值