Cookie中的httponly的属性和作用

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量4.9w 收藏 34
点赞数 11
分类专栏: xss 文章标签: xss

原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521

 

1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

 

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

 例如:

//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

 

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

 

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。

Cookie cookies[]=request.getCookies();  

师夷长技以制夷
关注
  • 11
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
CookieHttpOnly的使用方式以及用途
热门推荐
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
说说 CookieHttpOnly 属性
读万卷书,行万里路
08-10 591
HttpOnly 最早是由微软在 IE6 实现的,现在已成为标准 。 浏览器会禁止页面的 JavaScript 访问带有 HttpOnly 属性Cookie。 目的很明显,就是为了应对 Cookie 劫持攻击。 Cookie 使用过程是这样的: 浏览器首次向服务器发起请求。 服务器响应时,会发送 Set-Cookie 响应头;浏览器会把这个头写入 Cookie。 在 Cookie ...
33 _ 跨站脚本攻击(XSS):为什么CookieHttpOnly属性
最新发布
所学所思
06-11 1026
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件或者DOM注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
关于cookiehttponly属性
zhaowei的专栏
06-15 8995
    httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cook
cookiehttpOnly属性
harmsworth的博客
07-06 7252
cookiehttpOnly属性 前言 cookie 有一个 httpOnly 属性,可以设置一个 只能在服务端设置的cookie 的键值对,即禁止客户端修改携带 httpOnly 属性cookie 键值对。 代码 // app.js const http = require('http') const userId = 123456 let resData = { time: Date...
cookie httponly属性
HeAiMing
02-15 458
http://blog.csdn.net/u014538198/article/details/41596735 arks the cookie as accessible only through the HTTP protocol. This means that the cookie won't be accessible by scripting languages, such
HttpOnly作用
qq_36009580的博客
06-13 1069
防止通过脚本读取setCookie的内容,进而防止XXS攻击
PHP设置CookieHTTPONLY属性方法
10-20
HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP设置CookieHTTPOnly属性HTTPOnly属性是由微软在IE6 SP1首先引入的,目的是...
Session CookieHttpOnly和secure属性
10-29
首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
httpwebreqeust读取httponlycookie方法
08-31
这是因为`HttpOnly` Cookie设计的初衷就是防止通过JavaScript访问,因此在`HttpWebRequest`的`CookieContainer`属性不会自动包含这些Cookie。不过,我们可以手动解析响应头的`Set-Cookie`字段,然后创建`Cookie`...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 2313
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文设置 HttpOnly cookie:1. 在 HTTP 响应:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie设置 HttpOnly 属性HttpOnly;
Cookie 相关HttpOnly属性的重要性
zy103118的博客
04-26 3813
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程
cookie,大智慧
dotNET跨平台
02-23 466
Cookie是什么?cookies是你访问网站时创建的数据片段文件,通过保存浏览信息,它们使你的在线体验更加轻松。使用cookies,可以使你保持在线登录状态,记录你的站点偏好,并为你提...
关于获取受httponly属性保护的cookie的思考
weixin_50464560的博客
08-13 5541
以前在面试过程有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。 httponly作用 如果您在cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击无法通过document对象直接获取到cookie。 如何绕过 首先需要明确的是,因为无法通过js脚本获得cookie信息,经过自己的简单总结,我们可以从以下方面下手: 1.敏感信息泄露 因为无法使用js脚本获取到带httponly属性cookie,那会不会前
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1489
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1780
1.什么是HttpOnly?如果您在cookie设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
Cookie设置HttpOnly属性
06-07
在服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述代码,`setHttpOnly(true)` 方法可以设置CookieHttpOnly属性为true。当浏览器接收到这个Cookie时,会将HttpOnly属性设置为true,从而防止通过JavaScript读取Cookie信息。 需要注意的是,HttpOnly属性只能防止通过JavaScript读取Cookie信息,但是无法防止其他方式的攻击,比如通过网络嗅探等方式,因此还需要采取其他安全措施来保护Web应用程序的安全。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值