Cookie中HttpOnly的使用方式以及用途

已于 2022-08-03 23:14:25 修改
阅读量2.4w 收藏 35
点赞数 8
分类专栏: 后端 文章标签: 安全
于 2021-12-22 10:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drawlessonsfrom/article/details/122078723
版权

一、HttpOnly的简介

HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。

二、使用方式

  1. 语法
Set-Cookie: <cookie-name>=<cookie-value>;HttpOnly
  1. 设置样例
response.setHeader( "Set-Cookie" , "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
  例如:
//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")


//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");


//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

参见文章:https://blog.csdn.net/qq_38553333/article/details/80055521

三、HttpOnly的用途

防范跨站脚本攻击,即XSS攻击。在生成Cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护Cookie的风险。

在现在大部分的网站中都设置HttpOnly属性,如下图所示:
在这里插入图片描述

四、XSS攻击概述

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到了页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

好事总会发生在下个转弯
关注
  • 8
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
完整获取webBrowser1.Document.Cookie取不到HttpOnlyCookie
06-08
完整获取webBrowser1的Cookie HttpOnlyCookie
cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie.cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
33 _ 跨站脚本攻击(XSS):为什么CookieHttpOnly属性?
最新发布
所学所思
06-11 1026
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件或者DOM注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1780
1.什么是HttpOnly?如果您在cookie设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
CookieHttpOnly属性和XSS攻击
AGreatLoser
06-27 5575
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
鸡肋的HttpOnly
weixin_44074543的博客
05-06 2015
鸡肋的HttpOnly
会话cookie 缺少 HttpOnly 属性安全漏洞原理和解决方案
热门推荐
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
HttpOnly 标志——保护 Cookie 免受 XSS
allway2的博客
08-02 3055
然而,在日常使用,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种保护cookie免受此类盗窃的方法一个标志,告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie,如果连接是HTTP,浏览器将永远不会发送cookie。HTTP响应标头的可选属性,由Web服务器在HTTP响应与网页一起发送到Web浏览器。应发送cookie,具体取决于访问者与设置cookie的站点的交互方式。...
[xss-3]httponly绕过
qq_41889600的博客
11-23 2815
小迪安全 xss httponly绕过
Django cookie使用
12-19
以下是对DjangoCookie使用方法的详细解释: 1. **获取Cookie**: Django提供了一个方便的方法来获取请求(Request)Cookie。你可以通过`request.COOKIES`字典来访问Cookie。例如,要获取键为'key'的Cookie值,...
PHPcookie知识点学习
10-18
本文将深入探讨PHPCookie使用、组成、用途、操作方法以及良好实践。 首先,了解什么是CookieCookie,形象地称为“小饼干”,是在用户代理端(通常是浏览器)存储的一小段数据。当用户浏览网页时,浏览器会在...
javacookie使用教程
03-29
本文将深入讲解JavaCookie使用方法,包括创建、设置、读取和删除Cookie,以及其在Web应用程序的作用。 1. **Cookie的基本概念** - **定义**:Cookie是服务器发送到用户浏览器并存储在本地的一小块数据,当...
Firefox插件cookie-editor-1.9.0
01-25
1. **查看Cookie**:插件提供了一个直观的界面,可以显示当前网站的所有Cookie,包括名称、值、域名、路径、过期时间和是否为HTTPOnly或Secure。 2. **添加Cookie**:用户可以自定义Cookie的属性,创建新的Cookie,...
取网页Cookie.rar
03-12
下面将详细介绍网页Cookie的工作原理、用途以及如何提取它们。 1. **网页Cookie的基本概念** - 网页Cookie是由Web服务器发送到用户浏览器并存储在本地的一小段文本信息,通常用于跟踪用户状态、个性化设置、登录...
HttpOnly是怎么回事?
Mr_Yanghao的博客
08-29 2723
最近配合公司安全团队开展一些工作,安全团队建议,内部系统(用户端系统有跨域需求,其他方式解决更合适)对接SSO建议开启HttpOnlyHttpOnly?没听说过,赶紧百度一下。 一、什么是HttpOnly 根据Jordan Wiens一篇博客《No cookie for you!》记载,HttpOnly cookie最初是由Microsoft Internet Explorer开发人员于20...
关于如何处理httpOnly的问题?
高性价比服务器就选:蓝易云
08-23 1008
时,它限制了JavaScript的访问权限,使得只有在HTTP请求可以读取和修改该cookie,而无法通过JavaScript来获取其值,从而增加了防止跨站点脚本攻击(XSS)的安全性。属性,并采用其他机制进行数据传递,以确保安全性和保护用户的敏感信息。希望以上解答对你有帮助。如果你有任何其他问题,请随时提问。的问题需要在服务器端和前端进行合作,合理设置。的问题是在Web开发重要的安全考虑之一。是一种cookie属性,当设置为。
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookiehttponly和samesite属性。
如何使用js-cookie设置cookiehttpOnly属性
03-23
可以使用以下代码来设置cookiehttpOnly属性: ```javascript // 设置cookie Cookies.set('name', 'value', { httpOnly: true }); // 获取cookie Cookies.get('name'); ``` 其,`httpOnly`属性设置为`true`表示只能通过HTTP协议访问该cookie,而不能通过JavaScript访问,从而提高了安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值