Set-Cookie 的 secure 属性到底是干什么用的

最新推荐文章于 2025-03-22 15:46:17 发布
最新推荐文章于 2025-03-22 15:46:17 发布
阅读量6k 收藏 4
点赞数 1
分类专栏: 网络基础知识 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihuifen2011/article/details/116054343
版权

    有时候会看到安全扫描报告中这样描述:影响所有Set-Cookie消息头中未设置可选属性Secure的系统。解决方案是:为cookie设置Secure属性

代码如下:

private void writeCookie(HttpServletResponse response, String name, String value, String domain, String path, int maxAge,boolean isSecure) {
		Cookie cookie = new Cookie(name, value);
		cookie.setVersion(0);
		cookie.setPath(path);
		cookie.setSecure(isSecure);
		if (domain != null) {
			cookie.setDomain(domain);
		}

		cookie.setMaxAge(maxAge);
		response.addCookie(cookie);
	}

有两个属性可以设置:

1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

根据实际需要进行设置

设置后在浏览器中查看cookie,会发现这样的改变:

secure属性为true,但这里有个叹号提示非安全链接这个属性将不会被接收到,如果改为Https连接该提示将不会有,如下所示:

 

cookie setSecure详解
隔壁老瓦的专栏
04-08 891
在cas中或其他web开发中,会碰到安全cookie的概念,因为CAS中TGT是存放在安全cookie中的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSe...
CookiesetSecure() 方法详解及编程示例
TechO_O的博客
09-14 669
setSecure() 是 Cookie 类的一个方法,用于设置 Cookiesecure 属性。然后,通过调用 setSecure(true) 方法,将 secure 属性设置为 true。其中,setSecure() 方法是用于设置 Cookiesecure 属性的方法。本文将详细介绍 setSecure() 方法的作用和用法,并提供相应的编程示例。需要注意的是,为了使用 setSecure() 方法,需要在使用该 Cookie 的页面或资源通过安全连接(HTTPS)进行访问。
c# 配置cookie Secure属性
qq_43949291的博客
01-11 709
c# 配置 cookie secucre属性
HTTP Header 中的 cookieset-cookie
最新发布
星环
03-22 1399
在 HTTP 协议中,CookieSet-Cookie是两个不同的头部,分别用于发送 cookie 和 设置 cookieCookieSet-CookieSet-Cookie是一个HTTP响应标头用于将cookie由服务器发送到用户代理(即浏览器),以便用户代理在后续的请求中可以将其发送回服务器。要发送多个cookie,则应在同一响应中发送多个Set-Cookie标头。Set-Cookie
CookieSecure属性
weixin_30549175的博客
12-15 2034
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
cookie secure的作用
jwc7758520的博客
11-10 634
cookie-secure的值改为了true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。前端展示如下:set-cookie:key=value;secure。 ...
Cookies增加Secure属性
godlewis
12-27 1万+
1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2171
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie中的
Kex:这是一个基本网站,可显示给定浏览器中的cookie知识-Kex是代号,在瑞典语中表示“饼干”
02-21
这里,`name`和`value`是Cookie的基本属性,`expires`指定有效期,`path`定义了Cookie的作用路径,`domain`指定了Cookie的适用域,`secure`表示只在HTTPS连接下传输,`HttpOnly`防止JavaScript访问以增加安全性。...
postman教程-10-使用cookie
米兔软件测试
06-03 7780
上一小节我们学习了Postman Authorization授权的几种方法,本小节我们讲解一下Postman 使用cookie的方法。
js-cookie如何获取到JSESSIONID
03-15
### 如何使用 js-cookie 库获取 JSESSIONID `js-cookie` 是一个用于操作浏览器 Cookies 的轻量级 JavaScript 库,提供了更简洁和安全的方式来管理 Cookies。要通过 `js-cookie` 获取名为 `JSESSIONID` 的 Cookie 值...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
Retrofit2.0 ,OkHttp3完美同步持久Cookie实现免登录(二)
热门推荐
Tamic (大白)
06-17 3万+
通过对Retrofit2.0的<Retrofit 2.0 超能实践,完美支持Https传输>基础入门和案例实践,掌握了怎么样使用Retrofit访问网络,加入自定义header,包括加入SSL证书,基本的调试基础,但是正常的开发中会涉及cookie同步问题,可以实现一些自动或免登录登陆问题,接下来进入cookie同步姿势CookieCookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内
COOKIESECURE属性
几钱清风
11-17 7627
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
cooiek的Secure属性设置
m0_61560589的博客
10-11 2244
cooiek中有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek中要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
Cookie属性secure、httponly
weixin_44843710的博客
12-02 3458
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
小兵qwer的专栏
08-16 9504
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 2055
根据MicrosoftDeveloperNetwork的说法,HttpOnly&SecureSet-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值