cookie安全之HTTP -only

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量522 收藏 5
点赞数 7
文章标签: 安全 http 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Whatsoever1/article/details/137751171
版权

       我们登陆浏览器后,我们的浏览器会存在cookie,下次再访问其他页面时,浏览器自动传递cookie,实现了不需要登陆即可访问。!假设我们的 cookie被人盗取,就会存在安全危险。

       httponly可以用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问 题。 IE6的SP1里就带了对httponly的支持

 

PHP中的设置 

 

在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性

 <?php
  ini_set("session.cookie_httponly", 1); 
 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE); 
 ?> 

 

java中的设置 

 

Java的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。 如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。

 

 

 

 

 

 

Tian.An
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sso-user-cookie.zip
10-13
- 为了保护用户信息,Cookie应该设置为HTTP Only,防止JavaScript脚本读取。 - 使用HTTPS协议确保通信过程的安全,防止中间人攻击。 - 设置合适的Cookie过期时间,避免长期有效的令牌导致的安全风险。 - 对令牌...
jquery-cookie-master
03-18
3. 安全性与HTTP Only:通过设置{ secure: true },可以确保Cookie仅在HTTPS协议下传输,提高安全性。HTTP Only属性则防止JavaScript访问Cookie,减少XSS攻击风险。 四、应用场景 1. 用户首选项:Cookie常用于存储...
http首部
y804750431的博客
01-08 579
1. htttp 报文首部 报文结构为:首部 空行(CR+LF)主体 在请求中 http报文首部由请求方法,URI,http版本,首部字段等构成 在响应中:状态码,http版本,首部字段3部分构成 2. http 首部字段 给浏览器和服务器提供报文主体大小,所使用语言,认证信息等 字段结构 为 首部字段名:字段值 例如 content-Type:text/html 3. http/1.1 通用首部字段 请求报文和响应报文都会使用的首部 首部字段cache-contr
Cookie 中 相关HttpOnly属性的重要性
zy103118的博客
04-26 3786
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被
什么是HTTP-only Cookie,它有什么安全特性?
长风破浪会有时的博客
05-16 154
最主要的安全特性就是它能防止一些坏人(黑客)偷看你的小纸条(Cookie)上的信息。因为黑客通常会通过一些手段在你的浏览器里运行恶意程序(比如JavaScript),然后尝试读取或修改你的CookieCookie就像是小纸条,当你在浏览网站的时候,网站会把一些小纸条(Cookie)放在你的浏览器里。这样,当你下次再去这个网站的时候,网站就可以通过读取这些小纸条来认识你,并为你提供更好的服务。它的特殊之处在于,它只能被网站服务器读取和修改,而不能被浏览器里的其他程序(比如JavaScript)读取或修改。
HTTP cookies 详解
SalmonellaVaccine的专栏
02-05 647
http://bubkoo.com/2014/04/21/http-cookies-explained/ HTTP cookies,通常称之为“cookie”,已经存在很长时间了,但是仍然没有被充分理解。首要问题是存在许多误解,认为 cookie 是后门程序或病毒,却忽视了其工作原理。第二个问题是,对于 cookie 的操作缺少统一的接口。尽管存在这些问题,cookie 仍旧在 We
使用HttpOnly提升Cookie安全
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
HttpOnly介绍以及防止XSS攻击时的作用(转)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
01-12 881
[url=http://www.owasp.org/index.php/HTTPOnly]介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP)[/url] 转自:[url=http://netsecurity.51cto.com/art/200902/111143.htm]利用HTTP-only Cookie缓解XSS之痛[/url] ...
利用HTTP-only Cookie缓解XSS
think_ycx的专栏
08-15 1035
原文地址 一、XSS与HTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
XSS HTTP-only
luojinbai的专栏
02-28 1005
装载自: http://itlab.idcquan.com/security/wlaq/777263.html在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie.我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only coo
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3065
设置一个HttpOnly的 cookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly。
通过cookie记住密码-HTML样例源码
09-22
此外,对于敏感信息,还可以考虑使用HTTP-only Cookie,防止JavaScript脚本直接访问,降低XSS攻击的风险。 总之,通过HTML和Cookie技术,我们可以实现网页登录的“记住密码”功能,提升用户体验。但要注意安全问题...
members-only
03-16
内部使用专为奥丁项目而设计开发计划: 为数据库创建模型创建一个注册页面使用bcrypt的安全密码让用户确认密码通过创建用户来连接和测试数据库连接创建一个登录页面实施cookie或保持用户登录状态的方法创建一个...
PHP会话操作之cookie用法分析
10-21
为了防止跨站脚本攻击(XSS),可以设置第七个参数为`true`,使cookie成为HTTP Only,阻止JavaScript访问: ```php setcookie('key', 'val', 0, '', '', false, true); ``` **注意事项** - `setcookie()`函数必须在...
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
最新发布
qq_46143850的博客
06-11 1013
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 3927
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
it知识分享 free for nothing..
03-18 690
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
怎样获取和使用httponly=1的Cookie
08-15 6617
1、传统方法不能获取到完整的Cookie 在我们访问网站时,网站把用户数据保存在Cookie中,Cookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。 2、httponly是什么Cookie 对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...
cookie http only安全配置
06-09
HTTP Only 是指将 Cookie 标记为只能通过 HTTP(S) 协议访问,而不能通过 JavaScript 等非 HTTP(S) 协议访问,这样可以有效地减少跨站脚本攻击(XSS)的风险。攻击者通过 XSS 攻击手段,窃取用户的 Cookie,就可以获得用户的登录信息,从而实现伪造用户身份登录系统,进行恶意操作。 因此,在 Web 应用程序中,为了保障用户信息的安全,应该将 Cookie 标记为 HTTP Only。在实现上,可以在服务端将 Set-Cookie 头部添加 HttpOnly 属性来实现。这样一来,在客户端通过 JavaScript 等方式无法获取到 Cookie 的值,从而保证了 Cookie安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值