HttpOnly

最新推荐文章于 2022-11-23 22:45:45 发布
最新推荐文章于 2022-11-23 22:45:45 发布
阅读量721 收藏 1
点赞数
分类专栏: 方案流程图及架构 文章标签: JavaEE VB VB.NET PHP 脚本

1.什么是HttpOnly?

 

如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击

具体一点的介绍请google进行搜索

2.javaEE的API是否支持?

 

目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现

 

3.HttpOnly的设置样例

 

javaEE 

response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取

 

Cookie cookies[]=request.getCookies();
 

C# 

HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);

VB.NET 

Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

   但是在 .NET 1.1 ,中您需要手动添加

Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4 

header("Set-Cookie: hidden=value; httpOnly");

PHP5 

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

    最后一个参数为HttpOnly属性

 

 

参考

http://www.owasp.org/index.php/HTTPOnly
iteye_18366
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
PHP设置Cookie的HTTPONLY属性方法
10-20
HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置Cookie的HTTPOnly属性。 HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是...
http-only配置
weixin_44270509的博客
10-31 2222
http-only配置Http-only Http-only Http-only 字段,就是加在 cookie 身上的一个“护身符”。浏览器存在这种机制,只要 cookie 中含有 Http-only 字段,那么任何 JavaScript 脚本都没有权限读取这条 cookie 的内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NP1cZTjC-1572...
什么是http-only?这个是干什么用的?
热门推荐
qq_43348375的博客
10-28 1万+
敲黑板:http-only能够有效地防止XSS攻击。 1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通
XSS防御——http only
我只会装360的博客
08-27 2080
XSS攻击 Http-only的设计主要是用来防御XSS攻击 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。 ...
httpOnly对于抵御Session劫持的个人小结
Lucky小小吴的小屋
11-18 741
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要防护的攻击手段:XSS不能通过document对象直接获取cookie。
利用httponly提升应用程序安全性(转载)
weixin_33774615的博客
07-22 141
随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为了在各个会话之间传递信息,就不可避免地用到Cookie或者Session等技术来标记访问者的状态,而无论是Cookie还是Session,一般都是利用Cookie来实现的(Ses...
httpwebreqeust读取httponly的cookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie值
01-07
为了对抗这种攻击,HttpOnly属性应运而生。本文将详细介绍HttpOnly属性的作用,以及Java和PHP后台如何设置HttpOnly属性到浏览器的Cookie。 **HttpOnly属性详解** HttpOnly属性是Cookie的一个扩展,其主要目的是...
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
HttpOnly是怎么回事?
01-14 1055
最近配合公司安全团队开展一些工作,安全团队建议,内部系统(用户端系统有跨域需求,其他方式解决更合适)对接SSO建议开启HttpOnlyHttpOnly?没听说过,赶紧百度一下。一、什么是HttpOnly根据Jordan Wie...
HTTP Only下的XSS攻击
永远是少年
11-23 1392
今天继续给大家介绍渗透测试相关知识,本文主要内容是HTTP Only下的XSS攻击。 一、设置HTTP Only后XSS攻击手段 二、表单劫持绕过HTTP Only获取用户名密码 三、读取浏览器记住的明文密码
HTTP Only限制XSS盗取cookie
永远是少年
11-22 1785
今天继续给大家介绍渗透测试相关知识,本文主要内容HTTP Only限制XSS盗取cookie。 一、HTTP Only原理 二、HTTP Only设置 三、HTTP Only效果展示
初见http-only
m0_55754984的博客
09-19 1223
1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie上设置HttpOnly标志来
网站安全之设置HttpOnly的方法
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
网络:XSS和HttpOnly
五山口老法师
03-28 1308
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性...
cookie 设置 httpOnly属性
weixin_33859504的博客
03-01 160
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException; importjavax.servlet.Filter; importjavax.servlet.FilterChain; importjavax.servlet.FilterConfig...
java httponly_HttpOnly是个什么鬼
weixin_42512249的博客
03-06 749
写这篇的目的是,今天群里面提到了HttpOnly这个标签,所以专门的mark了下。谁 在什么时候发明了HttpOnly2002年微软为ie6的sp1创造了HttpOnly什么是HttpOnlyHttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受...
nginx httponly
最新发布
09-14
However, Nginx itself does not directly support setting the `HttpOnly` flag for cookies. The `HttpOnly` flag is a security feature that can be added to cookies to restrict their access from client-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值