http only及设置

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: http协议及web安全 文章标签: javaee vb.net null java header c#

1.什么是HttpOnly?

 

如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击


2.javaEE的API是否支持?

 

目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现

 

3.HttpOnly的设置样例

 

javaEE

Javaee代码 复制代码
  1. response.setHeader("Set-Cookie", "cookiename=value;   
  2. Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");  
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取

 

Java代码 复制代码
  1. Cookie cookies[]=request.getCookies();  
Cookie cookies[]=request.getCookies();
 

C#

C#代码 复制代码
  1. HttpCookie myCookie = new HttpCookie("myCookie");   
  2. myCookie.HttpOnly = true;   
  3. Response.AppendCookie(myCookie);  

VB.NET

Vb.net代码 复制代码
  1. Dim myCookie As HttpCookie = new HttpCookie("myCookie")   
  2. myCookie.HttpOnly = True   
  3. Response.AppendCookie(myCookie)  

   但是在 .NET 1.1 ,中您需要手动添加

Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4

Java代码 复制代码
  1. header("Set-Cookie: hidden=value; httpOnly");  
header("Set-Cookie: hidden=value; httpOnly");

PHP5

Java代码 复制代码
  1. setcookie("abc""test", NULL, NULL, NULL, NULL, TRUE);   
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

    最后一个参数为HttpOnly属性

 

 

参考

Java代码 复制代码
  1. <STRONG><STRONG>http://www.owasp.org/index.php/HTTPOnly</STRONG>   
  2. </STRONG>  
mei922
关注
专栏目录
nginx: [warn] "log_format" directive used only on "http" level 解决方法
09-30
在使用Nginx web服务器时,可能会遇到一个警告消息:“nginx: [warn] 'log_format' directive used only on 'http' level”。这个警告通常出现在尝试在`server`或`location`级别定义`log_format`指令时,而Nginx规定...
http-only原理与防御XSS实践
ChuMeng1999的博客
11-16 1603
对于很多只依赖于cookie验证的网站来说,http-only cookies是一个很好的解决方案,在支持http-only cookies的浏览器中(IE6以上,FF3.0以上),Javascript是无法读取和修改http-only cookies,这样可让网站用户验证更加安全。我们重新看步骤一中所抓取得http包,当我们输入用户名和口令进行登录操作时,服务器端对口令进行校验,如果成功,返回给我们登录信息,并且在返回数据包中包含了cookie信息,以便保存用户的登录状态。
什么是http-only?这个是干什么用的?
qq_43348375的博客
10-28 1万+
敲黑板:http-only能够有效地防止XSS攻击。 1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通
【前端安全】cookie中如果给某个字段设置HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 552
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
HTTP Only限制XSS盗取cookie
永远是少年
11-22 1911
今天继续给大家介绍渗透测试相关知识,本文主要内容HTTP Only限制XSS盗取cookie。 一、HTTP Only原理 二、HTTP Only设置 三、HTTP Only效果展示
xss跨站之代码及http only绕过
san3144393495的博客
05-26 1863
如何绕过http only,他只是防止cookie被读取,并不防止跨站漏洞,我想要获取后台的权限,有两种方法可以获取后台权限,一种是cookie,另一种是直接的账户密码登陆,因为http only限制了cookie的获取只能用账户密码去登陆,账户密码有些个人习惯,会把账户密码进行个保存,避免下次忘了密码,有一些浏览器会自动保存,如果对方设置了保存或者浏览器自动保存账户密码,我们是可以利用xss去读取账户免密的。有两种情况,一种是保存读取,就是输入账号浏览器会自动补齐免密就是保存读取,比如qq的保存密码。
HttpOnly
翻过这座山,就到菩提洞了
03-27 750
1.什么是HttpOnly?   如果您在cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击 具体一点的介绍请google进行搜索 2.javaEE的API是否支持?   目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现   3.HttpOnly的设置样例 ...
XSS防御——http only
我只会装360的博客
08-27 2105
XSS攻击 Http-only的设计主要是用来防御XSS攻击 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。 ...
虚拟机网络连接_HTTP_
10-03
3. **主机模式(Host-Only Mode)**:虚拟机只与主机进行通信,不与外部网络连接,提供了一个封闭的网络环境。 4. **内部网络模式(Internal Network)**:虚拟机之间可以互相通信,但不能与外界网络交互,适用于...
虚拟主机中phpMyAdmin的安装配置方法
09-11
- `$cfg['Servers'][$i]['only_db']`:如果只需要访问特定数据库,可以在这里设置数据库名。 - `$cfg['blowfish_secret']`:用于cookie认证的安全密钥。在本地环境中可以不设置,但在线上环境中,为了安全,你需要...
HTTP协议头详解
09-04
HTTP 消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行,一个或者多个头域,一个只是头域结束的空行和可选的消息体组成。 HTTP 的头域包括通用头、请求头、响应头和实体...
OnlyOfficeDemo.zip
03-30
5. **集成Web服务器**:为了通过HTTP/HTTPS访问OnlyOffice,你需要将其与Nginx或Apache等Web服务器集成。这通常涉及到配置Web服务器的虚拟主机,将请求转发到OnlyOffice服务。 6. **测试与调试**:完成上述步骤后,...
Web漏洞-XSS跨站之代码及Http Only绕过-XSS Labs靶场详细通关教程-WAF绕过及安全修复
ran的博客
03-29 2267
如果您在cookie中设置HttpOnly属性,那么通过is脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。如果httponly出现的话,使用XSS来获取cookie基本就可以被拦截下来。那么由此我们就会想到,如果遇到了httponly后,我们需要怎么进行操作呢?首先要想到的是,它知识阻止cookie被我们获取到,但是不会阻止跨站语句的执行。Web漏洞-XSS跨站之代码及Http Only绕过-XSS labs靶场详细通关教程-WAF绕过及安全修复
Cookie中HttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
http-only配置
weixin_44270509的博客
10-31 2269
http-only配置Http-only Http-only Http-only 字段,就是加在 cookie 身上的一个“护身符”。浏览器存在这种机制,只要 cookie 中含有 Http-only 字段,那么任何 JavaScript 脚本都没有权限读取这条 cookie 的内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NP1cZTjC-1572...
漏洞解决方案-HttpOnly设置
smart的博客
08-11 7589
漏洞解决方案-HttpOnly设置漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法 漏洞解决方案-HttpOnly设置 漏洞概述 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。 攻击步骤 测试并发现一个存在XSS漏洞网站。 通过XSS漏洞,插入恶意链接:
一个有趣的手机验证码挖掘姿势
Key_book(句芒安全实验室)
08-25 1221
漏洞1(常规):暴力破解---爆破用户名、爆破密码漏洞2(常规):短信炸弹---\n\r等字符绕过漏洞3(亮点):任意用户登录---同时输入两个手机号获取同一验证码
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
使用Fiddler抓取Android手机HTTPHTTPS包的教程
在PC端,需要在Fiddler的"HTTPS"选项卡中勾选"Decrypt HTTPS traffic",选择"from remote clients only",同时勾选"Ignore server certificate errors"。点击"Actions"导出Fiddler的根证书至桌面。 接下来,在手机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值