cookie的httponly属性

最新推荐文章于 2024-03-18 13:22:47 发布
最新推荐文章于 2024-03-18 13:22:47 发布
阅读量727 收藏
点赞数
分类专栏: php 文章标签: 浏览器 javascript php flash 服务器 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/calllmq/article/details/7228833
版权

httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的!
    IE6的SP1里就带了对httponly的支持,所以相对还说还是些安全性。

不同版本的php对cookie中加此属性所用的方式是不同的,具体如下

if (PHP_VERSION>='5.2.0') {
  return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath,$db_ckdomain,$ck_Secure,$ck_Httponly);
 } else {
  return setcookie($ck_Var,$ck_Value,$ck_Time,$db_ckpath.($ck_Httponly ? '; HttpOnly' : ''),$db_ckdomain,$ck_Secure);
 }


calllmq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cookie 相关HttpOnly属性的重要性
zy103118的博客
04-26 3688
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程
cookiehttpOnly属性
harmsworth的博客
07-06 7213
cookiehttpOnly属性 前言 cookie 有一个 httpOnly 属性,可以设置一个 只能在服务端设置的cookie 的键值对,即禁止客户端修改携带 httpOnly 属性cookie 键值对。 代码 // app.js const http = require('http') const userId = 123456 let resData = { time: Date...
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
最新发布
it知识分享 free for nothing..
03-18 530
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
什么是 cookiehttponly 属性
SAP 资深技术专家 Jerry Wang 的技术分享
06-17 5185
在设置了 HttpOnly 属性的情况下,浏览器将禁止通过 JavaScript 访问和修改 Cookie,从而有效地防止一些常见的攻击,例如跨站脚本攻击(XSS)。在一个具有用户身份认证的 Web 应用程序服务器用户成功登录后,将用户凭据存储在一个名为 “authToken” 的 Cookie ,并设置其 HttpOnly 属性。一个在线银行应用程序在用户进行敏感操作(如转账)时,将用户的会话标识存储在一个名为 “sessionID” 的 Cookie ,并设置其为 HttpOnly
Cookiehttponly属性和作用
热门推荐
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全...
应用安全系列之二十:HTTP协议安全
jimmyleeee的专栏
03-18 980
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 HTTP协议也提供了一些头用于提高安全,本章节主要是介绍一些常用的协议头和他们的作用,以及如何正确使用。 CORS HTTPonly Secure SameSite HSTS XSS-Protect X-Frame-Option Content-Security-Policy (CSP) 如果有不妥之处,希望可以留言指出。谢谢! 参考: https://cheatsheet...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnly和secure属性
10-29
首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器cookie.cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
跨站脚本攻击(XSS):为什么CookieHttpOnly属性
小王的技术库
11-08 1390
XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件或者 DOM 注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全称Cross SiteScript,跨站脚本攻击,是Web程序常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
HttpOnly的设置
willie_chen的专栏
08-02 2万+
描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 2.HttpOnly微软cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高...
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
关于cookiehttponly属性
zhaowei的专栏
06-15 8976
    httponly微软cookie做的扩展。这个主要是解决用户cookie可能被盗用的问题。    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cook
网络安全实验6 认识XSS & 盗取cookie
一半西瓜的博客
01-30 3715
赞赏码 & 联系方式 & 个人闲话 【实验名称】认识XSS&盗取cookie 【实验目的】 1.了解XSS漏洞 2. 掌握盗取Cookie的方法 【实验原理】 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML...
说说 CookieHttpOnly 属性
读万卷书,行万里路
08-10 569
HttpOnly 最早是由微软在 IE6 实现的,现在已成为标准 。 浏览器会禁止页面JavaScript 访问带有 HttpOnly 属性Cookie。 目的很明显,就是为了应对 Cookie 劫持攻击。 Cookie 使用过程是这样的: 浏览器首次向服务器发起请求。 服务器响应时,会发送 Set-Cookie 响应头;浏览器会把这个头写入 Cookie。 在 Cookie ...
如何将cookiehttponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 5374
cookie 设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
Cookie设置HttpOnly属性
06-07
服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序,可以通过如下方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值