Cookie中的httponly的属性和作用

最新推荐文章于 2025-09-24 10:14:15 发布
原创 最新推荐文章于 2025-09-24 10:14:15 发布 · 10w+ 阅读 · 77 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#httponly

本文介绍了HttpOnly属性的作用及设置方法,HttpOnly能够阻止JavaScript脚本读取Cookie信息,有效防御XSS攻击。同时提供了多种HttpOnly Cookie的设置示例。

1.什么是HttpOnly?

果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如:

//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。

Cookie cookies[]=request.getCookies(); 

YG青松
关注
Cookie中的HttpOnly属性XSS攻击
AGreatLoser
06-27 7354
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
javascript中Cookie、BOM、DOM的使用
qq_44136028的博客
06-06 1592
DOM 是浏览器提供的一个接口,用于操作 HTML 文档的结构内容。DOM 提供了一组对象方法,用于访问修改 HTML 文档的元素、属性内容。BOM(Browser Object Model)是指浏览器对象模型,它提供了与浏览器交互的接口对象。BOM 提供了丰富的方法属性,用于与浏览器进行交互,例如打开新窗口、导航、获取用户输入等。在客户端存储小型文本数据(通常 ≤ 4KB),常用于会话管理、个性化设置等场景。
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
HTTP协议工作原理与生产环境服务器搭建实战
最新发布
2302_80105876的博客
09-24 2856
在浏览器中点击一个链接或输入一个网址时,背后是HTTP协议在默默地协调着客户端与服务器之间的每一次对话。作为应用层最核心的协议之一,HTTP定义了Web通信的基本规则。本文将深入解析HTTP协议的报文格式、关键机制,并通过实践搭建一个简单的HTTP服务器,来揭示网页从请求到展现的完整过程。
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 6559
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性HttpOnly;
我如何设置一个http only的cookie
m0_57236802的博客
08-15 4315
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
PHP设置CookieHTTPONLY属性方法
12-18
HTTPOnly属性是微软为增强Cookie安全性引入的一个特性,主要目的是防止恶意脚本(如JavaScript)通过DOM接口访问Cookie,从而降低Cookie被窃取的风险。当设置CookieHTTPOnly属性时,浏览器将禁止JavaScript等...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
本文将详细介绍HttpOnly属性作用,以及JavaPHP后台如何设置HttpOnly属性到浏览器的Cookie。 **HttpOnly属性详解** HttpOnly属性Cookie的一个扩展,其主要目的是增强对XSS攻击的防护。当一个Cookie被设置为...
Django检测到会话cookie中缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1755
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
Cookie设置HttpOnly
while(life)++;
04-02 3450
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3486
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
cookiehttponly的设置(可简单仿XSS攻击)
weixin_33908217的博客
11-08 1370
cookiehttponly的设置(可简单仿XSS攻击) httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户端脚本访问cookie。使用HTTP-on...
CookieHttpOnly属性作用、配置与前后端分工
weixin_43172311的博客
07-07 1845
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
Java 设置 httponly cookie
allway2的博客
08-02 5862
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
【前端安全】cookie中如果给某个字段设置了HttpOnly会怎么样?
xingyu_qie的专栏
07-20 1991
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
HttpOnly Cookie
y523648的博客
10-24 364
HttpOnly Cookie 是一种具有特殊属性Cookie,旨在提高 Web 应用程序的安全性。我们可以使用Httponly cookie,在服务器端生成保存token,防止token被客户端访问,比如。,可以防止客户端 JavaScript 访问这些 Cookie,从而减小 XSS(跨站脚本)攻击的风险。客户端将无法使用javascript访问cookie
会话cookie中缺少httponly属性
07-09
### 会话 Cookie 缺少 HttpOnly 属性的影响 当会话 Cookie 中缺少 `HttpOnly` 属性时,该 Cookie 将可以通过客户端脚本(如 JavaScript)访问。这为跨站脚本攻击(XSS)提供了可乘之机,攻击者可以利用注入的恶意脚本读取用户的 Cookie 并将其发送到外部服务器,从而窃取用户的身份验证信息或执行其他恶意操作[^4]。 此外,由于缺少 `HttpOnly` 属性,攻击者还可以尝试修改 Cookie 内容,影响应用程序的行为,甚至实现会话劫持等高级攻击手段[^3]。 ### 修复方法 #### 1. 添加 `HttpOnly` 属性 为了修复此问题,应在设置 Cookie 时明确添加 `HttpOnly` 属性,以防止客户端脚本访问该 Cookie。例如,在 HTTP 响应头中设置如下内容: ```http Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly ``` 此设置不仅启用了 `HttpOnly`,还结合了 `Secure` 属性,确保 Cookie 只能通过 HTTPS 协议传输,进一步增强安全性[^1]。 #### 2. 在 Java Web 应用中配置 如果使用的是 Java Servlet 技术栈,可以在响应中直接设置带有 `HttpOnly` 的 Cookie,示例代码如下: ```java HttpServletResponse response2 = (HttpServletResponse) response; response2.setHeader("Set-Cookie", "name=value; HttpOnly"); ``` 此方式适用于需要动态生成 Cookie 的场景,并且可以根据业务需求灵活控制 Cookie属性[^2]。 #### 3. 框架级配置(如 Django) 在某些 Web 框架中(如 Django),可以通过框架配置来全局启用 `HttpOnly` 属性。例如,在 Django 的设置文件中添加以下配置: ```python SESSION_COOKIE_HTTPONLY = True ``` 这样可以确保所有由框架生成的会话 Cookie 都默认包含 `HttpOnly` 属性,减少手动配置的工作量并提高一致性。 #### 4. 结合业务场景评估使用 虽然 `HttpOnly` 是一项重要的安全措施,但在某些特定业务场景下,可能需要前端 JavaScript 访问 Cookie 来实现功能逻辑。此时应权衡安全性与功能性,必要时可通过其他方式(如 Token 认证、限制 Cookie 作用域等)来弥补潜在的安全风险[^3]。 --- ###
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值