HttpOnly Cookie 怎么讲

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量684 收藏
点赞数
分类专栏: PHP 文章标签: php
原文链接:https://www.jianshu.com/p/f60db8eb8acf
版权

HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookie。HttpOnly背后的相关议题是:当网站存在跨站脚本攻击(XSS)漏洞时,黑客通过执行脚本获得cookie时被阻止,从而在根本上杜绝这种类型的攻击。
当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。当然也有前提:使用新版的浏览器。
HttpOnly Cookie 最初由 Microsoft’s Internet Explorer 6 SP1引入,至今为止,已是设置会话cookie的最佳实践了。
其语法如下:

Set-Cookie: Name=Value; expires=Wednesday, 01-May-2014 12:45:10 GMT; HttpOnly

在上面的HTTP请求头中,HttpOnly知会浏览器在保存cookie,但不要向客户端脚本开放访问权限。

另外还有一个安全标识可以强制浏览器发送cookie的时候采用安全通道,比如HTTPS,可以防止被监听。尤其是在HTTPS连接被一些工具(比如SSLStrip等)降级到HTTP。
该语法为:

Set-Cookie: Name=Value; expires=Wednesday, 01-May-2014 12:45:10 GMT; Secure

在这个HTTP头信息中,Secure标识知会浏览器使用安全的加密通道发送cookie。

原文:https://latesthackingnews.com/2017/07/03/what-is-httponly-cookie/

PHP中的设置 

 PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

 session.cookie_httponly = 

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启: 

 <?php
  ini_set("session.cookie_httponly", 1); 
 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE); 
 ?> 
Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为: 

setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 
 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
 对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了: 

 <?php
  header("Set-Cookie: hidden=value; httpOnly");
  ?> 

                

        

        

    




    

      

        

            

              
                
                  larance
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案

				
			

			

				

					backerli的博客
				

				

					09-25
					
					5077
					
				

			

		

		

			
				
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
1 / 说明
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送

			
		

	



                

              
                



	

		

			

				
					
PHP设置CookieHTTPONLY属性方法

				
			

			

				

					10-20
				

			

		

		

			
				
当一个Cookie被设置为HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。  PHP...

			
		

	



                


  
              

                


	

		

			

				
					
怎样获取和使用httponly=1的Cookie

				
			

			

				

					
				

				

					08-15
					
					6687
					
				

			

		

		

			
				
1、传统方法不能获取到完整的Cookie
   在我们访问网站时,网站把用户数据保存在Cookie中,Cookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。



2、httponly是什么Cookie
   对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...

			
		

	





	

		

			

				
					
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSS与CORS漏洞利用

				
			

			

				

					RexHa的博客
				

				

					10-27
					
					5563
					
				

			

		

		

			
				
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。

			
		

	



		

			
		



	

		

			

				
					
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?

					
最新发布

				
			

			

				

					liuqiao
				

				

					06-11
					
					1021
					
				

			

		

		

			
				
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。

			
		

	





	

		

			

				
					
HttpOnly 标志–保护 Cookies 免受 XSS 攻击

				
			

			

				

					liuqinhou的博客
				

				

					06-06
					
					1770
					
				

			

		

		

			
				
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie

			
		

	





	

		

			

				
					
Cookie 中 相关HttpOnly属性的重要性

				
			

			

				

					zy103118的博客
				

				

					04-26
					
					3800
					
				

			

		

		

			
				
一、属性说明:
1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

对于以上两个属性,
首先,secure属性是防止信息在传递的过程中被

			
		

	





	

		

			

				
					
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理

				
			

			

				

					u010457180的博客
				

				

					04-21
					
					2020
					
				

			

		

		

			
				
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞
通过修改PHP配置文件或PHP文件解决此漏洞

			
		

	





	

		

			

				
					
httpwebreqeust读取httponlycookie方法

				
			

			

				

					08-31
				

			

		

		

			
				
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...

			
		

	





	

		

			

				
					
.net 获取浏览器Cookie(包括HttpOnly)实例分享

				
			

			

				

					10-26
				

			

		

		

			
				
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下

			
		

	





	

		

			

				
					
cookie设置httpOnly和secure属性实现及问题

				
			

			

				

					01-03
				

			

		

		

			
				
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式

			
		

	





	

		

			

				
					
Session CookieHttpOnly和secure属性

				
			

			

				

					m0_37477061的博客
				

				

					03-07
					
					1958
					
				

			

		

		

			
				
https://www.cnblogs.com/crazylqy/p/4143433.html


			
		

	





	

		

			

				
					
某些浏览器中因cookie设置HttpOnly标志引起的安全问题

				
			

			

				

					bylfsj的博客
				

				

					03-21
					
					2056
					
				

			

		

		

			
				
1、简介
如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有些浏览器的HttpOnly标记可以被...

			
		

	





	

		

			

				
					
关于获取受httponly属性保护的cookie的思考

				
			

			

				

					weixin_50464560的博客
				

				

					08-13
					
					5514
					
				

			

		

		

			
				
以前在面试过程中有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。
httponly的作用
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击中无法通过document对象直接获取到cookie。
如何绕过
首先需要明确的是,因为无法通过js脚本获得cookie信息,经过自己的简单总结,我们可以从以下方面下手:
1.敏感信息泄露
因为无法使用js脚本获取到带httponly属性的cookie,那会不会前

			
		

	





	

		

			

				
					
Cookie中的httponly的属性和作用

					
热门推荐

				
			

			

				

					欢迎
				

				

					09-10
					
					4万+
					
				

			

		

		

			
				
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521

 

1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...

			
		

	





	

		

			

				
					
HTTP Cookie 详解二

				
			

			

				

					我的未来从这里开始
				

				

					03-26
					
					2万+
					
				

			

		

		

			
				
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。

HTTP Cookie:
Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出

			
		

	





	

		

			

				
					
Tomcat and HttpOnly Session Cookies

				
			

			

				

					cnbird's blog
				

				

					12-03
					
					2209
					
				

			

		

		

			
				
Just wanted to let you know that Apache Tomcat can now be configured to use HttpOnly session cookies. I had forgotten about Jim Manicos crusade to get HttpOnly support in Tomcat. It is a shame that i

			
		

	





	

		

			

				
					
网络安全-HttpOnlyCookies

				
			

			

				

					weixin_34026484的博客
				

				

					07-21
					
					185
					
				

			

		

		

			
				
未启用 HttpOnly,×××者就能更容易地访问用户 cookie,会造成XSS××× 在web.xml里加入这个启用即可<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session...

			
		

	





	

		

			

				
					
cookie httponly

				
			

			

				

					09-29
				

			

		

		

			
				
httponly是一种cookie属性,用于限制浏览器脚本(如JavaScript)对cookie的访问。当一个cookie设置了httponly属性后,浏览器将只允许通过HTTP或HTTPS协议传输这个cookie,而不允许脚本语言(如JavaScript)读取或...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值