Http中Cookie的HttpOnly和secure属性

最新推荐文章于 2024-07-16 10:33:02 发布
最新推荐文章于 2024-07-16 10:33:02 发布
阅读量1w 收藏 8
点赞数
分类专栏: java 基础 java 基础 Guice
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiasanshou/article/details/53785854
版权

Cookie语法:

Cookie通常是作为HTTP 应答头发送给客户端的,下面的例子展示了相应的语法(注意,HttpOnly属性对大小写不敏感): 

Html代码   收藏代码
  1. Set-Cookie: =[; =]  
  2. [; expires=][; domain=]  
  3. [; path=][; secure][; HttpOnly] 

属性含义

1 secure属性

当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。

2 HttpOnly属性

如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。


作用:

防止XSS攻击。具体参考:

http://netsecurity.51cto.com/art/200902/111143.htm

Smox
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnlysecure属性
热门推荐
严老板的技术梦想博客
11-05 1万+
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Co...
Web应用安全测试-防护功能缺失
06-14 1329
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
httpCookieCookie安全
weixin_34378969的博客
09-22 468
Web 应用程序使用的 Cookie 个人认为这里设置的cookie与访问cookie的安全性关联大一点,配置节如下 <httpCookies domain="String" httpOnlyCookies="true|false" requireSSL="true|false" />    httpOnlyCookies:默认是false,作用是是否禁用浏览...
Cookie属性secure、httponly
weixin_44843710的博客
12-02 1583
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
利用httponly提升应用程序安全性[zt]
abc123098098的博客
11-21 80
==Ph4nt0m Security Team== Issue 0x01, Phile #0x06 of 0x06 |=---------------------------------------------------------------------------=| |=-------------=[ 利用httponly提升应用程序安全性 ]=--------------...
cookiesecure属性详解
09-03
4. **限制跨协议传递**:在上面的实践例子,我们看到了当`secure`属性设为`false`时,Cookie可以在HTTPHTTPS协议之间自由传递。这虽然方便了跨协议的Cookie使用,但也增加了数据被窃取的风险。因此,一般建议...
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
PHP设置CookieHTTPONLY属性方法
12-18
3. **Cookie安全性**:除了HTTPOnly,还可以使用Secure标志(只在HTTPS连接发送Cookie),以及SameSite属性(防止CSRF跨站请求伪造攻击)来提高Cookie的安全性。 4. **Cookie的读取**:在PHP,可以通过`$_...
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7957
Cookie 有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8594
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Cookiesecure和httpOnly属性的含义
wang252949的博客
03-14 9150
Cookie访问控制cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定不行的,所以浏览器是不允许跨域访问cookie的,提高了Cookie的安全性。在前面的文章 session和cookie介绍 ,已经介绍了cookie的作用域,主要是说一级域名相同情况下如何共享使用cookie。如果想实现跨域访问,可以通过JSONP、CORS的方法实现。另外,HTTP设置coo...
浅谈HTTP CookieSecure 和 HTTPONLY属性
一些好玩的东西
10-10 1万+
最近工作遇到了关于cookiesecure及httponly属性的问题, 所以关注并学习了一段时间,这里做一下简要记录。关于secure和httponly标志的用途可以参考wikipedia. Secure cookieA secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring
Http协议Cookie详细介绍
weixin_30448685的博客
03-19 592
Cookie总是保存在客户端,按在客户端的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久CookieHTTP请求+co...
Cookiesecure,httponly属性和作用
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
01-09 1708
(一)HttpOnly 1.什么是HttpOnly? 如果cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序常见的漏洞,XSS属于被动式且用于客户端的攻击方...
HTTPS请求头缺少HttpOnlySecure属性解决方案
最新发布
李木子的博客
07-16 422
等保测评
关于 http https javascript cookie secure 实验
cigun5090的博客
12-31 255
实验环境 同一个web应用,同时支持 http 访问和 https 访问, 如: http://localhost/auth https://localhost/auth 使用Chrome浏览器, 首先访问 http://localhost/auth 然后 浏览器 F12 ...
HTTPS详解
李爱乐
03-31 9244
HTTPS,SSL/TLS,ASL,数字证书,DHE,ECDHE。 介绍了HTTPS的加密过程,和数字证书为什么能保证不会被篡改,还有HTTPS最后是怎么生成会话秘钥(对称秘钥)的。
http请求报文secure和httponly
06-07
HTTP请求报文Secure和HttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被途窃取或篡改。如果一个CookieSecure属性没有设置,那么这个Cookie可以在HTTPHTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTPHTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置Secure和HttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值