cookie的httpOnly设置与使用问题

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量5.5k 收藏 1
点赞数 1
文章标签: javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingmoujs/article/details/135134435
版权

设置一个 HttpOnly 的 cookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。

以下是如何在不同的上下文中设置 HttpOnly cookie:

1. 在 HTTP 响应中:
如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:

Set-Cookie: mycookie=myvalue; HttpOnly;


2. 使用特定的后端语言或框架:
PHP:

setcookie('mycookie', 'myvalue', 0, '/', '', false, true);


Node.js (Express.js):

res.cookie('mycookie', 'myvalue', { httpOnly: true });


Python (Flask):

response.set_cookie('mycookie', 'myvalue', httponly=True)

Python (Django):

response.set_cookie('mycookie', 'myvalue', httponly=True)

Java (Servlet):

Cookie myCookie = new Cookie("mycookie", "myvalue");
myCookie.setHttpOnly(true);
response.addCookie(myCookie);

3. 在 Web 浏览器扩展中(如 Chrome Extensions):
如果你使用 chrome.cookies.set API 设置 cookie,你可以设置 httpOnly 属性为 true:

chrome.cookies.set({
    url: 'https://www.example.com',
    name: 'mycookie',
    value: 'myvalue',
    httpOnly: true
});

请注意,当你设置一个 HttpOnly 的 cookie,你不能再通过 JavaScript 的 document.cookie 在客户端读取或修改它。这就是 HttpOnly 属性的目的:防止客户端脚本访问某些敏感的 cookie,从而增加安全性。


如何使用js-cookie设置cookie的httpOnly属性

//设置
Cookie.set(TokenKey,token,{httpOnly:true})


//注意:设置httpOnly之后根据浏览器安全策略,只能通过请求地址获取请求头中的cookie,Cookie.get()方式等读写均获取不到
注意:设置httpOnly之后根据浏览器安全策略,只能通过请求地址获取请求头中的cookie,Cookie.get()方式等读写均获取不到
冰眸js
关注
如何在Spring Boot中设置HttpOnly Cookie以增强安全性
qq_42763903的博客
03-21 1044
HttpOnly是一个Cookie属性,用于防止客户端脚本(如JavaScript)访问该Cookie。当Cookie被标记为HttpOnly时,浏览器将禁止客户端脚本通过访问该Cookie,从而有效防止跨站脚本攻击(XSS)。通过设置HttpOnlyCookie,可以有效增强Web应用的安全性,防止XSS攻击等安全威胁。在Spring Boot中,你可以通过或Spring Security等方式轻松设置HttpOnlyCookie。希望本文能帮助你更好地理解和应用HttpOnly
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3399
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie中的httponly的属性和作用
热门推荐
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
我如何设置一个http only的cookie
m0_57236802的博客
08-15 4059
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
关于cookiehttponly属性
zhaowei的专栏
06-15 9080
    httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cook
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
或者,如果你使用的是Spring框架,可以在Cookie对象上设置HttpOnly属性: ```java Cookie cookie = new Cookie("username", "JohnDoe"); cookie.setPath("/"); cookie.setHttpOnly(true); response.addCookie...
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie设置HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
httpwebreqeust读取httponlycookie方法
08-31
但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,例如在使用`HttpWebRequest`类进行网络请求时。本文将详细介绍如何在C#中使用`HttpWebRequest`读取`HttpOnly`的Cookie。 首先,`HttpWebRequest`对象...
第九节 cookiehttponly设置-01
09-15
CookieHttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
Cookie设置HttpOnly
while(life)++;
04-02 3406
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
前端安全】cookie中如果给某个字段设置HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 1822
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
CookieHttpOnly使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
什么是 cookiehttponly 属性
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
06-17 5964
设置HttpOnly 属性的情况下,浏览器将禁止通过 JavaScript 访问和修改 Cookie,从而有效地防止一些常见的攻击,例如跨站脚本攻击(XSS)。在一个具有用户身份认证的 Web 应用程序中,服务器在用户成功登录后,将用户凭据存储在一个名为 “authToken” 的 Cookie 中,并设置HttpOnly 属性。一个在线银行应用程序在用户进行敏感操作(如转账)时,将用户的会话标识存储在一个名为 “sessionID” 的 Cookie 中,并设置其为 HttpOnly
cookie httponly
u013803262的专栏
04-14 699
Java 中的JSESSIONID的cookie。默认是httponly 具体啥是httponly 设置cookiehttponly将无法被javascript读取到。 所以默认情况下JavaScript是无法通过读取JSESSIONID的值再到服务器端找之相对应的Session里面的数据但还是有办法的,就是将JSESSIONID设置为 非httponly Cookie cookie =
详解Cookiehttponly设置安全性
在第九节关于cookie的讲解中,主要讨论了cookiehttponly设置及其在Web安全中的重要性。首先,我们需要了解什么是cookieCookie是HTTP协议下,Web服务器为了识别用户身份、管理会话状态而在用户本地终端上存储的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值