java服务器端获取Cookie的httpOnly的值总是false,奇怪了?

最新推荐文章于 2023-06-27 15:11:49 发布
最新推荐文章于 2023-06-27 15:11:49 发布
阅读量1.7k 收藏 2
点赞数
文章标签: java javaSE Cookie httpOnly javaWeb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czh500/article/details/114959997
版权

名称叫JSESSIONID的Cookie,HttpOnly明明是true,服务器端获取的HttpOnly的值始终是false

Java操作Cookie方法

请求头cookie 的 httpOnly 问题

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>javascript读取不到httpOnly属性值等于true的cookie</title>
<script type="text/javascript">
window.onload = function() {
	var divNode = document.getElementById("showCookie");
	divNode.innerHTML = "cookie如下:<br/>" + document.cookie;
}
</script>
</head>
<body style="background-color: #CCE8CF;">
<h2>javascript读取不到httpOnly属性值等于true的cookie</h2>
<div id="showCookie" style="background-color: Wheat; height: 200px;">
</div>
</body>
</html>

package com.test.servlet;

import java.io.IOException;
import java.util.Enumeration;
import java.util.UUID;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 测试Cookie的HttpOnly
 */
@WebServlet("/TestCookie")
public class TestCookie extends HttpServlet {
	private static final long serialVersionUID = 1L;

	protected void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
//		String header = response.getHeader("Set-Cookie");
//		System.out.println(header);
		Cookie[] cookies = request.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				System.out.println(cookie.getName() + "=" + cookie.getValue() +",httpOnly=" + cookie.isHttpOnly());
				System.out.println("Domain=" + cookie.getDomain() + ",Path=" + cookie.getPath());
				System.out.println("-------------------------");
			}
		} else {
			Cookie cookie = new Cookie("access_token", UUID.randomUUID().toString());
			cookie.setHttpOnly(false);
			cookie.setPath("/");
			cookie.setDomain("localhost");
			response.addCookie(cookie);
			response.sendRedirect("http://localhost:8888" + request.getContextPath() + "/js.html");
		}
		
		// 获取所有请求头的名称
		Enumeration<String> headerNames = request.getHeaderNames();
		while(headerNames.hasMoreElements())
		{
		    String headerName = headerNames.nextElement();
		    // 获取每个请求、及其对应的值
		    System.out.println(headerName + " = " + request.getHeader(headerName));
		        
		}
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		doGet(request, response);
	}

}

访问http://localhost:8888/javaScript2021/TestCookie这个Servlet地址,运行结果如下: 

access_token=3334b9fe-dcfe-4167-833f-92c9bd1210a9,httpOnly=false
Domain=null,Path=null
-------------------------
test_token=cc50861e-1682-4e7c-9a43-a2caacd9c57c,httpOnly=false
Domain=null,Path=null
-------------------------
my_id=8173206f-df14-4b35-8451-a883bae03de9,httpOnly=false
Domain=null,Path=null
-------------------------
host = localhost:8888
connection = keep-alive
cache-control = max-age=0
dnt = 1
upgrade-insecure-requests = 1
user-agent = Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.82 Safari/537.36
accept = text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
sec-fetch-site = none
sec-fetch-mode = navigate
sec-fetch-user = ?1
sec-fetch-dest = document
accept-encoding = gzip, deflate, br
accept-language = zh-CN,zh;q=0.9
cookie = access_token=3334b9fe-dcfe-4167-833f-92c9bd1210a9; test_token=cc50861e-1682-4e7c-9a43-a2caacd9c57c; my_id=8173206f-df14-4b35-8451-a883bae03de9

 java服务器端获取Cookie的httpOnly的值总是false,奇怪了? 

cookie是通过请求头中的cookie字段发送到服务器的,服务器解析这段cookie字符串,封装成Cookie[],而浏览器发送cookie时只会发送key-value,所以Cookie其他的字段都是默认值,boolean默认是false。

程宇寒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
httpwebreqeust读取httponlycookie方法
08-31
但有时开发者需要在服务器代码中处理这些`HttpOnly` Cookie,例如在使用`HttpWebRequest`类进行网络请求时。本文将详细介绍如何在C#中使用`HttpWebRequest`读取`HttpOnly`的Cookie。 首先,`HttpWebRequest`对象...
部分浏览器 set-cookie 不成功踩坑记录
heidou_2016的博客
11-05 6151
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。公司正在做一个sso的单点登录的项目,做完之后,在测试阶段,不同的终的兼容测试时候,好几个不同的浏览器出现了不同的问题,有登录之后自动退出,有登陆不成功等问题。而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。
修改cookie里的httpOnlyfalse
qq_31985407的博客
09-03 4140
HttpServletResponse response = HttpContextUtils.getHttpServletResponse(); // 去掉cookiehttpOnly 让js可以获取cookie String header = response.getHeader("Set-Cookie"); int index; if(header !=null && (index = header.in...
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 5446
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
httpwebreqeust读取httponlycookie
rztyfx的专栏
07-27 1593
httponlycookie,在httpwebreqeust请求时,会获取不到,可以采用直接获取head中的set-cookie,再转换成Cookie添加到CookieContainer中 以下是实现代码: CookieContainer cc = new CookieContainer(); string cookieStr = resp.Headers["Set-Cooki
Java 开发 | 安全篇 设置CookieHttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookieHttpOnly属性问题 CookieHttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问CookieHttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
cookiejavascript中的使用技巧以及隐私在服务器的设置
01-19
一个网站的cookie字符串包含了该站点域名下的所有cookie(javascript 可访问的,不包括 httponlycookie ),多个cookie之间用分号和一个空格隔开,最多一般是 20个或50个,例如,包含2个cookie的字符串格式为 ...
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie被设置为HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
Java 本地http代理请求,idea设置配置不生效解决
Lauuii_的博客
06-19 907
【代码】Java http代理请求,idea设置配置不生效解决。
浅析cookie之secure篇
a7442358的专栏
12-21 1383
浅析cookie之secure篇
增加 cookie 安全性添加HttpOnly和secure属性
轻描淡写
10-12 5012
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
Java 设置 httponly cookie
allway2的博客
08-02 5257
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
Cookie设置HttpOnly,Secure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
cookie中存储的设置httponly和secure
qq_28600087的博客
02-27 5932
最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。 首先什么是httponly和secure呢?是cookie中的两个属性 当设置了httponly为true时,通过js脚本是无法获取cookie的信息的。防止XSS攻击。 secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。 设置sessionid...
java怎么获取ie浏览器的cookie,.net 获取浏览器Cookie(包括HttpOnly)实例分享
weixin_34916118的博客
03-10 513
一、接口文件using System;using System.ComponentModel;using System.Net;using System.Runtime.InteropServices;using System.Security;using System.Security.Permissions;using System.Text;namespace CookieHandler{i...
httponly配置为true后无法通过js脚本获取cookie
最新发布
09-09
httponly配置为true后,无法通过js脚本来获取cookieHttpOnly是一种Cookie属性,当设置为true时,浏览器会禁止通过客户脚本(比如JavaScript)来访问该Cookie。这样做是为了提高安全性,防止恶意的跨站点脚本攻击(XSS攻击)。 在以前的实现中,可以通过JavaScript的document.cookie获取和操作Cookie。然而,这样的实现存在安全风险,因为恶意的脚本可以通过读取Cookie获取用户的敏感信息。 通过将HttpOnly属性设置为true,浏览器会禁止对该Cookie的访问,只允许通过HTTP请求来发送它。这意味着即使客户的代码被攻击者植入了恶意脚本,也无法直接读取到Cookie。 但是需要注意的是,HttpOnly属性仅仅是限制了脚本对Cookie的访问,而对于服务器,依然可以访问和操作这些Cookie。这样服务器仍然可以继续在HTTP请求中使用Cookie来做一些特定的操作。 总结起来,把HttpOnly属性设置为true可以一定程度上增加网站的安全性,保护用户的隐私数据不被恶意脚本窃取,但仍需要其他安全措施来防范其他类型的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值