http only及设置

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: http协议及web安全 文章标签: javaee vb.net null java header c#

1.什么是HttpOnly?

 

如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击


2.javaEE的API是否支持?

 

目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现

 

3.HttpOnly的设置样例

 

javaEE

Javaee代码 复制代码
  1. response.setHeader("Set-Cookie", "cookiename=value;   
  2. Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");  
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取

 

Java代码 复制代码
  1. Cookie cookies[]=request.getCookies();  
Cookie cookies[]=request.getCookies();
 

C#

C#代码 复制代码
  1. HttpCookie myCookie = new HttpCookie("myCookie");   
  2. myCookie.HttpOnly = true;   
  3. Response.AppendCookie(myCookie);  

VB.NET

Vb.net代码 复制代码
  1. Dim myCookie As HttpCookie = new HttpCookie("myCookie")   
  2. myCookie.HttpOnly = True   
  3. Response.AppendCookie(myCookie)  

   但是在 .NET 1.1 ,中您需要手动添加

Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4

Java代码 复制代码
  1. header("Set-Cookie: hidden=value; httpOnly");  
header("Set-Cookie: hidden=value; httpOnly");

PHP5

Java代码 复制代码
  1. setcookie("abc""test", NULL, NULL, NULL, NULL, TRUE);   
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

    最后一个参数为HttpOnly属性

 

 

参考

Java代码 复制代码
  1. <STRONG><STRONG>http://www.owasp.org/index.php/HTTPOnly</STRONG>   
  2. </STRONG>  
mei922
关注
专栏目录
【网络安全】XSS之HTTP Only
等风来
05-29 452
HTTP Only 是一个用于设置 HTTP Cookie 的属性,它可以防止通过 JavaScript 访问该 Cookie。当将 Cookie 标记为 HTTP Only 后,浏览器将只允许在 HTTP 请求中发送该 Cookie,而禁止在客户端的 JavaScript 中进行访问。
unity摄影机depth模式_Unity3d摄像机详解
weixin_35739967的博客
12-31 3210
一 概述Unity的相机用来将游戏世界呈现给玩家。你始终至少有一个相机在场景中,你也可以有多个。多相机可以给你一个双人分屏效果或创建高级的自定义效果。你可以让相机动起来,或用物理(组件)控制它们。几乎你能想到的任何事,都可以用相机变成可能,而且为了适合你的游戏风格,你可以用典型的或特殊的相机类型。二 属性1 clear flags确定屏幕的哪一部分将被清除。每个摄像机在渲染它视图的时候都会缓存颜色...
http-only原理与防御XSS实践
ChuMeng1999的博客
11-16 1608
对于很多只依赖于cookie验证的网站来说,http-only cookies是一个很好的解决方案,在支持http-only cookies的浏览器中(IE6以上,FF3.0以上),Javascript是无法读取和修改http-only cookies,这样可让网站用户验证更加安全。我们重新看步骤一中所抓取得http包,当我们输入用户名和口令进行登录操作时,服务器端对口令进行校验,如果成功,返回给我们登录信息,并且在返回数据包中包含了cookie信息,以便保存用户的登录状态。
【前端安全】cookie中如果给某个字段设置HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 571
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
HttpOnly
翻过这座山,就到菩提洞了
03-27 750
1.什么是HttpOnly?   如果您在cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击 具体一点的介绍请google进行搜索 2.javaEE的API是否支持?   目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现   3.HttpOnly的设置样例 ...
http-only配置
weixin_44270509的博客
10-31 2270
http-only配置Http-only Http-only Http-only 字段,就是加在 cookie 身上的一个“护身符”。浏览器存在这种机制,只要 cookie 中含有 Http-only 字段,那么任何 JavaScript 脚本都没有权限读取这条 cookie 的内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NP1cZTjC-1572...
什么是http-only?这个是干什么用的?
热门推荐
qq_43348375的博客
10-28 1万+
敲黑板:http-only能够有效地防止XSS攻击。 1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通
XSS防御——http only
我只会装360的博客
08-27 2109
XSS攻击 Http-only的设计主要是用来防御XSS攻击 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。 ...
ROS主从机设置以及出现的问题
Ocean_JH的博客
05-03 2812
最近在配置ROS主从机时,遇见一个问题,纠结了比较久,才终于解决。 总结一下就是,太傻了,没有好好去看官方文档。 首先,我们有 主机master,ip为192.168.31.173 从机follow,ip为192.168.31.28 于是,在主机和从机的 /etc/hosts文件中增加 192.168.31.173 master 192.168.31.28 follow 注:中间使用ta...
onlyoffice(windows+linux)服务搭建详解以及api集成和踩坑说明
王威振的博客
01-09 3351
onlyoffice(windows+linux)服务搭建详解以及api集成和踩坑说明
接口测试 fiddler,手机抓包,mock接口,手机设置代理后无法上网,无法打开证书下载页面
weixin_43724711的博客
01-10 1217
当fiddler抓取的数据太多了,只想显示某些特定IP的数据时,点击右侧Filters,勾选use Filters,选中第二个下拉框选择show only the following hosts ,再在输入框中输入要过滤显示的主机ip/域名,输入多个ip用英文分号;(4)设置手机wlan代理,点击手机设置-wlan选择自己连接的wifi长按,弹出修改网络,再点击代理,选择手动,IP输入上一步找到的本机ip,端口输入步骤(2)中fiddler中设置的(一般设置为8888)sqlserver 1433。
httpOnly对于抵御Session劫持的个人小结
Lucky小小吴的小屋
11-18 770
cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要防护的攻击手段:XSS不能通过document对象直接获取cookie。
利用httponly提升应用程序安全性(转载)
weixin_33774615的博客
07-22 149
随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为了在各个会话之间传递信息,就不可避免地用到Cookie或者Session等技术来标记访问者的状态,而无论是Cookie还是Session,一般都是利用Cookie来实现的(Ses...
HttpOnly是怎么回事?
01-14 1070
最近配合公司安全团队开展一些工作,安全团队建议,内部系统(用户端系统有跨域需求,其他方式解决更合适)对接SSO建议开启HttpOnly。HttpOnly?没听说过,赶紧百度一下。一、什么是HttpOnly根据Jordan Wie...
HTTP Only下的XSS攻击
永远是少年
11-23 1443
今天继续给大家介绍渗透测试相关知识,本文主要内容是HTTP Only下的XSS攻击。 一、设置HTTP Only后XSS攻击手段 二、表单劫持绕过HTTP Only获取用户名密码 三、读取浏览器记住的明文密码
HTTP Only限制XSS盗取cookie
永远是少年
11-22 1917
今天继续给大家介绍渗透测试相关知识,本文主要内容HTTP Only限制XSS盗取cookie。 一、HTTP Only原理 二、HTTP Only设置 三、HTTP Only效果展示
初见http-only
m0_55754984的博客
09-19 1237
1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie上设置HttpOnly标志来
网站安全之设置HttpOnly的方法
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
使用Fiddler抓取Android手机HTTPHTTPS包的教程
在PC端,需要在Fiddler的"HTTPS"选项卡中勾选"Decrypt HTTPS traffic",选择"from remote clients only",同时勾选"Ignore server certificate errors"。点击"Actions"导出Fiddler的根证书至桌面。 接下来,在手机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值