Hostonly cookie是什么鬼?

最新推荐文章于 2024-03-08 10:31:34 发布
最新推荐文章于 2024-03-08 10:31:34 发布
阅读量647 收藏 1
点赞数
文章标签: java cookie web ajax html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30236895/article/details/121244198
版权

08c45b8e84798085a0dc78ded34148b4.gif

点击上方蓝字关注我们吧

81f32aeb88438f433b706fa11143fa13.png

知道cookie hostonly属性的请举手🧐

01

Cookie常见姿势、疑难梳理

目前w3c定义浏览器存放每个cookie需要包含以下字段:

cookie属性基本描述举例备注
name=valuecookie键值对id=a3fWa
expirescookie过期时间expires=Tue, 10-Jul-2013 08:30:18 GMT
secure指定通过https请求发送cookie
Restrict access to cookies
httponly指示是否允许通过JavaScript Document.cookie API访问cookie
Restrict access to cookies
domain指定哪些主机可以接收cookieDomain=mozilla.org;   不设置则等于当前页面domianDefine where cookies are sent
path指示哪些路径的请求会携带cookiePath=/docsDefine where cookies are sent
samesite让服务器指定是否允许跨站请求携带cookieSameSite=LaxDefine where cookies are sent

cookie属性之间用;连接;多个cookie设置,产生多次Set-Cookieheader

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: X-BAT-FullTicketId=TGT-969171-******;domain=bat.com; path=/; samesite=none; httponly

[page content]

第一方cookie、第三方cookie:
cookie与domian密切相关,如果cookie的domain属性与你当前查看的页面的domain相同,cookie被称为第一方cookie;
如果不同,则称为第三方cookie, 第三方cookie通常用于广告和用户行为追踪。

以上属性决定了后续请求能否正常访问cookie并携带cookie, 其中与cookie安全密切相关的三个属性:

  • secure

  • httponly

  • samesite

这三个cookie属性也是单点登录、跨域访问常遇到的阻碍的技术突破点。

 10分钟掌握cookie全貌

[ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问题

02

HostOnly cookie是什么鬼?

今天介绍一个不常见的cookie的属性hostonly,但是也曾给码甲哥造成了一点阻碍。

① 这是一个不可手动修改的cookie属性,类似 Sec-Fetch-、 Origin标头,都是浏览器自动判断并赋值。

② 判断逻辑:

如果domain-attribute非空:如果规范化之后的request-host不匹配domain-attribute  
中的域名,那么完全忽略掉cookie并且终止这些步骤;否则,将cookie的host-only-flag  
设定为false,并且将cookie的domain设定为domain-attribute。    
否则:将cookie的host-only-flag设定为true,并且将domain设定为规范化之后的request-host。

03

爬坑经历

我当时在做一个 单点登录的时候,原意图是: 设置cookie的domain属性为父域名,向子域名请求时能自动携带cookie, 但事与愿违,子域服务器始终收不到cookie。

8219c82234e764f28e84e47ae65dfc02.gif

我坚信:

成熟的技术一定会有成熟的诊断姿势!
成熟的技术一定会有成熟的诊断姿势!
成熟的技术一定会有成熟的诊断姿势!

Chrome浏览器开发者工具显示:

疑点1:我的这个cookie在请求子域时被滤除了。

fe105be6ad6303b0c7a301d6492e45fd.png

鼠标悬停黑色感叹号,显示我这是一个hostonly cookie, 这就奇怪了,这个cookie的domain值也是正常的,但是多了一个hostonly属性。


疑点2:在原种植cookie的响应流Set-Cookie header,这个cookie的domain键值对消失了。

围观我设置Cookie的错误代码:

1c0dccfcc7decd65147fca38709c3fc2.png结合hostonly的判断逻辑, 我大概知道了。

7def0889f5409261a892e2d6eef787f0.png

大概就是我偷懒使用了单点登录的回调地址'bat.com/home'作为domain属性值,以为能自动解析出正常的domain。

实际上经历了【响应流中的Set-Cookie header 忽略cookie domain属性】---> 【hostonly判断逻辑】, 事情已经失控了,解决问题的办法也很明确,设置正确合法的domain属性值,就不会出现后续的幺蛾子,上线验证有效。

许久未更,见谅!码甲哥其实有很多内容想写,来日方长,与子同程。

本文记录了某web站点上线生产遇到的跨站点无法携带cookie问题,

  • 全面梳理了Cookie的疑难姿势

  • 顺势引出了hostonly这个有点意思的cookie属性

  • 希望本次的爬坑经历能给大家带来一点帮助

cd4e90da54762ede686261a3622fdd95.gif

实时通信技术大乱斗

SignalR 开发到生产部署闭坑指南

SignalR在React/Go技术栈的实践

●大前端快闪四:这次使用一个舒服的姿势插入HttpClient拦截器

●大前端快闪三:多环境灵活配置react

大前端快闪二:react开发模式 一键启动多个服务

大前端快闪:package.json文件知多少?

难缠的布隆过滤器,这次终于通透了

原创不易,点“赞”aff01be9fc015971ff5c70c8bf01a111.gif“在看”f5db5d9d79209e437ddfea975418d411.gif

体现态度很有必要!

有态度的马甲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Axios是什么?传参?什么
一个小白的自渡
12-18 980
Axios是什么? Axios 是一个基于 promise 的 HTTP 库,简单的讲就是可以发送get、post请求。说到get、post,大家应该第一时间想到的就是Jquery吧,毕竟前几年Jquery比较火的时候,大家都在用他。但是由于Vue、React等框架的出现,Jquery也不是那么吃香了。也正是Vue、React等框架的出现,促使了Axios轻量级库的出现,因为Vue等,不需要操作Dom,所以不需要引入Jquery.js了。 vue框架推荐使用axios来发送ajax请求 Axios特性 1
面向萌新的红帽杯2018线上赛wp
xiaoi123的博客
05-03 1878
网络安全攻防大赛第二届“红帽杯”网络安全攻防大赛(除了web3 guess id,不会做。没写。)misc2 Not Only Wireshark下载流量包,wireshark打开,过滤查看http发现name可疑,用python re全部提取出来504B0304,zip文件头了解一下得到2.zip,打开发现需要密码然后在流量包中ctrl+f搜索pass、pw、word、key,发现key有东西使...
HostOnly Cookie 及Js对cookie操作
weixin_30656145的博客
03-19 504
HostOnly Cookie 要理解HttpOnly的作用,要先弄懂XSS攻击,即跨站脚本攻击,大伙可以Google一下看看XSS到底是什么,来自wikipedia的解释: 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将代码注入到网页上,其他使用者在观看网页时就会受到影响。这类...
HostOnly Cookie和HttpOnly Cookie
donald_helloworld的博客
02-27 647
cookie解释http://www.bubuko.com/infodetail-1895628.html
通过HostOnly CookieCookie正确的设置一级域名
weixin_30342827的博客
12-12 516
前言 用户行为分析,最重要的一点就是通过埋点准确的获取用户的Cookie,那么这个Cookie到底怎么设置呢?那么如果面对的是站群,用户Cookie又该怎么设置,才能让访客量和新访客量准确无误呢? 接下来我们先看一个例子,之前我们对www.haier.com 设置Cookie是这样的, document.cookie=name=xxx1; expires=Tue, 10-Jul...
cookies几个属性的含义
最新发布
baby_jwdlh的博客
03-08 666
HttpOnly值为 true或 false,若设置为true,则不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见,但在发送请求时依旧会携带此Cookie。:尽管HttpOnly限制了通过脚本访问Cookie的能力,但如果网站本身存在其他安全漏洞,如XSS攻击,攻击者可能会尝试绕过这一保护。设置后,只能通过 HTTP 响应报文的 Set-Cookie 来新增或更新 cookie ,客户端无法通过脚本的方式来读写 cookie
Web渗透测试-实战 方法 思路 总结
m0_55595611的博客
02-21 9436
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
2021年高级前端进阶之路
云上
10-15 1050
1.两边固定,中间自适应布局 2.js判断字符串中出现次数最多的字符 3.Vue.set的用法及场景 4.Vue自定义指令的钩子函数及使用场景 4.1 钩子函数:bind,inserted,update,componentUpdated,unbind) 4.2 函数参数:el,binding,vnode,oldVnode 4.3 使用场景:按钮级别的权限控制 5.Vue页面渲染过程 ( 5.1 加载文件执行顺序:1.打包配置位置;2.index.htm...
HttpOnly和HostOnly 解决xss
sd517125的博客
06-16 411
HttpOnly和HostOnly HttpOnly和HostOnly都是xss攻击的解决方式,不同之处在于标注了HttpOnly的数据不能使用JavaScript读取,标注了HostOnly的数据只有在指定网站内发送请求才会返回。 例如: 1、Cookie标注了HttpOnly的数据,使用document.cookie就无法读取。 2、Cookie标注了HostOnly的数据中Domain字段的值为www.test1.com,下次请求时请求头中的Origin字段就必须得是www.test1.com,响应才
Cookie 安全
allway2的博客
09-05 1893
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
使用HttpOnly保护cookie的安全性
ai_xiangjuan的博客
04-21 1753
XSS 介绍 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 由于Http是无状态协议。因此Http的状态要通过Cookie或者Session来维持。当cookie被用户获取后。会存在很大的安全隐患。 httponly 如果您在cookie中设置了HttpOnly属性,那...
Cookie设置HttpOnly,Secure,Expire属性
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
Cookie中的HttpOnly的作用
AdleyTales的技术博客
06-04 3577
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
干货,满满的干货——OkHttp3之Cookies管理及持久化
yangyang的博客
10-10 1万+
感谢原址:file:///C:/Users/Administrator/Desktop/cookie/OkHttp3之Cookies管理及持久化%20-%20Akioss%20Share%20-%20SegmentFault.html Cookies管理 OkHttp的源码过于复杂,感兴趣的同学可以自行阅读,这里只针对HttpEngineer类进行分析,从字面意思即可看出这个类
java服务器端获取Cookie的httpOnly的值总是false,奇怪了?
程宇寒
03-18 1762
java服务器端获取Cookie的httpOnly的值总是false,奇怪了?
cookie hostonly
05-28
一个cookiehostOnly属性指示了浏览器是否只发送cookiecookie所在的域名(也就是不发送到子域名或父域名)。如果hostOnly属性为true,那么浏览器只会在请求cookie所在的域名时发送该cookie。如果hostOnly属性为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有态度的马甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值