setcookie的httponly属性

最新推荐文章于 2024-04-14 18:41:48 发布
最新推荐文章于 2024-04-14 18:41:48 发布
阅读量1w 收藏 3
点赞数 1
分类专栏: 安全测试 文章标签: null header javascript php session ini
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanbingkafei/article/details/7523749
版权

setcookie函数原型:http://cn2.php.net/setcookie

setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:  

   1、setcookie()的第七个参数
   2、设为true后,只能通过http访问,javascript无法访问
   3、防止xss读取cookie
   4、php5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:
       <?php

            ini_set("session.cookie_httponly", 1);
            // or
            session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
       ?>
   Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:
            setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
            setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
   5、对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:
      <?php    

            header("Set-Cookie: hidden=value; httpOnly");
      ?>


蓝冰咖啡
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3023
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
PHP设置Cookie的HTTPONLY属性方法
10-20
HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置Cookie的HTTPOnly属性HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是...
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
cookie安全之HTTP -only
最新发布
Whatsoever1的博客
04-14 514
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性
cookie的httpOnly设置与使用问题
bingmoujs的博客
12-21 1853
设置一个 HttpOnly 的 cookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性HttpOnly;
php setcookie httponly,SetCookie 未配置 HttpOnly、Secure
weixin_39603598的博客
03-26 711
某厂商给别人网站扫描的结果说是有漏洞,其中就有:SetCookie 未配置 HttpOnlySetCookie 未配置 Secure。这到底是什么意思呢?SetCookie是这个厂商认为写 Cookie的方法,但实际上我们的语言中并不是 SetCookie,那重点 HttpOnly、Secure是什么意思呢?设置了 HttpOnly表示这个 Cookie只是给浏览器记录用的,JS不能...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie值
01-07
PHP中,可以通过`setcookie()`函数来设置Cookie,包括HttpOnly属性。下面的代码演示了如何操作: ```php setcookie('username', 'JohnDoe', time() + 3600, '/', '', false, true); ``` 在这个例子中,`true`...
mvc中cookie安全
04-16
3. **HttpOnly属性**:`HttpOnly`属性是为防止XSS攻击而引入的。如果一个Cookie被标记为`HttpOnly`,那么JavaScript代码(包括jQuery)将无法通过`document.cookie`访问它。这限制了攻击者通过注入恶意脚本来窃取...
PHP中cookie知识点学习
10-18
2. 尽可能设置HttpOnly属性,以增加安全性。 3. 对Cookie进行验证和过滤,避免信任来自客户端的数据。 理解Cookie的工作原理很重要,比如,`setcookie()`函数不会立即影响当前请求,而是会影响接下来的请求。因此,...
httpwebreqeust读取httponly的cookie方法
12-31
httponly的cookie,在httpwebreqeust请求时,会获取不到,可以采用直接获取head中的set-cookie,再转换成Cookie添加到CookieContainer中 string cookieStr = resp.Headers[Set-Cookie]; string[] cookstr = cookieStr.Split(';'); foreach (string str in cookstr) { string[] arr = str.T
PHP Cookie的配置与应用
05-01
3. **HTTPOnly**:启用HTTPOnly属性可防止JavaScript通过`document.cookie`访问Cookie,减少XSS攻击风险。 4. **Secure与SameSite**:在安全的连接(HTTPS)上设置Cookie,并使用`SameSite`属性来限制跨站请求。 ...
Cookie设置HttpOnly
while(life)++;
04-02 3277
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
Java 设置 httponly cookie
allway2的博客
08-02 5218
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7542
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
HttpOnly 标志——保护 Cookie 免受 XSS
allway2的博客
08-02 3015
然而,在日常使用中,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种保护cookie免受此类盗窃的方法一个标志,告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie,如果连接是HTTP,浏览器将永远不会发送cookie。HTTP响应标头的可选属性,由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie,具体取决于访问者与设置cookie的站点的交互方式。...
浅析cookie之httponly
a7442358的专栏
12-21 1143
浅析cookie之httponly
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1593
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
在哪里设置httponly属性
07-15
在设置HttpOnly属性时,具体的设置方法取决于你使用的编程语言和框架。通常,你可以在服务器端生成cookie时设置HttpOnly属性。 以下是一些常见的编程语言和框架中设置HttpOnly属性的示例: 1. PHP: ```php setcookie('cookie_name', 'cookie_value', ['httponly' => true]); ``` 2. Java Servlet: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 3. ASP.NET: ```csharp HttpCookie cookie = new HttpCookie("cookie_name", "cookie_value"); cookie.HttpOnly = true; Response.Cookies.Add(cookie); ``` 请注意,这只是示例代码,实际上你需要根据自己的应用程序进行相应的调整。 另外,还可以在Web服务器(如Nginx、Apache)或反向代理服务器中进行配置,以强制所有生成的cookie都具有HttpOnly属性。这样可以确保所有生成的cookie都受到保护。 总之,无论使用哪种语言或框架,确保在生成cookie时设置HttpOnly属性是保护用户cookie安全的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值