如何将cookie中httponly属性设置为true?(预防XSS攻击)

已于 2022-07-29 22:42:50 修改
阅读量5.6k 收藏 18
点赞数 2
分类专栏: IIS搭建 文章标签: javascript 前端 服务器 html xss
于 2022-06-08 16:36:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56775626/article/details/125187110
版权

如何将cookie中HttpOnly属性设置为True?(预防xss攻击)

文章目录

前言

在 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。

为了解决XSS(跨站脚本攻击)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本JavaScript就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。即便是这样,也不要将重要信息存入cookie。

一、打开IIS

在这里插入图片描述

二、点击配置编辑器,点击打开功能

在这里插入图片描述

三、点击“节”的下拉按钮

在这里插入图片描述

四、找到system.web—HTTPCookie

在这里插入图片描述

五、更改httpONLYcookie的属性值

可以看到httpOnlyCookie的属性值是False,将False双击或按右侧下拉按钮修改为True,点击右上角“应用”保存
在这里插入图片描述

六、生成web.config

到网站目录中可以看到生成一个文件web.config
在这里插入图片描述

七、完成

就这么一段代码,即设置完成了
在这里插入图片描述

总结

我们将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。希望各位大佬指点批评。

刘桂香263
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3066
在Servlet 3.0增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie设置HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
IIS - 会话cookie缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选节点,将httpOnlyCookies设置true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
如何在Spring Boot使用Cookies
最新发布
2401_85117536的博客
06-24 416
按照上面的过程,4个月的时间刚刚好。当然Java的体系是很庞大的,还有很多更高级的技能需要掌握,但不要着急,这些完全可以放到以后工作边用别学。学习编程就是一个由混沌到有序的过程,所以你在学习过程,如果一时碰到理解不了的知识点,大可不必沮丧,更不要气馁,这都是正常的不能再正常的事情了,不过是“人同此心,心同此理”的暂时而已。道路是曲折的,前途是光明的!
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1489
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
关于获取受httponly属性保护的cookie的思考
weixin_50464560的博客
08-13 5536
以前在面试过程有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。 httponly的作用 如果您在cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击无法通过document对象直接获取到cookie。 如何绕过 首先需要明确的是,因为无法通过js脚本获得cookie信息,经过自己的简单总结,我们可以从以下方面下手: 1.敏感信息泄露 因为无法使用js脚本获取到带httponly属性cookie,那会不会前
Cookiehttponly属性和作用
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全...
Cookie 相关HttpOnly属性的重要性
zy103118的博客
04-26 3813
一、属性说明: 1 secure属性设置true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1780
1.什么是HttpOnly?如果您在cookie设置HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
这两种方法都将创建一个名为"username"的Cookie,并将其HttpOnly属性设为true,禁止JavaScript访问。 **PHP设置HttpOnly Cookie** 在PHP,可以通过`setcookie()`函数来设置Cookie,包括HttpOnly属性。下面的代码...
xss防御之php利用httponlyxss攻击
12-19
1. **全局开启**:在`php.ini`配置文件,可以设置`session.cookie_httponly = 1`来开启全局的Cookie HTTPOnly属性。 2. **函数设置**: - 使用`ini_set()`函数:`ini_set("session.cookie_httponly", 1);` - 在...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnly和secure属性
10-29
如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,...
Cookie详解
djool的博客
09-18 581
Cookie 是一种客户端缓存技术 , 长度一般规定不超过4kb, 有存储在内存(进程)的Cookie (浏览器一关闭就丢失数据) 和 存储在硬盘的Cookie (可持久化存储) Cookie是通过domain+path++name 来区分的 Cookie的一般使用使用 ​ Cookie cookie = new Cookie(name,
怎样获取和使用httponly=1的Cookie
08-15 6712
1、传统方法不能获取到完整的Cookie 在我们访问网站时,网站把用户数据保存在CookieCookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。 2、httponly是什么Cookie 对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...
某些浏览器cookie设置HttpOnly标志引起的安全问题
bylfsj的博客
03-21 2059
1、简介 如果cookie设置HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有些浏览器的HttpOnly标记可以被...
Cookie上直接设置HttpOnly属性
jinming1109的博客
05-11 1万+
1.需要在web.xml配置过滤器 &lt;!-- cookie添加HttpOnly属性 --&gt;    &lt;filter&gt;        &lt;filter-name&gt;CookieFilter&lt;/filter-name&gt;        &lt;filter-class&gt;文件目录.CookieFilter&lt;/filter-class&gt;    &...
HttpCookieHttpOnly和secure属性
魔力鸟的专栏
12-21 1万+
Cookie语法: Cookie通常是作为HTTP 应答头发送给客户端的,下面的例子展示了相应的语法(注意,HttpOnly属性对大小写不敏感):  Html代码   Set-Cookie: =[; =]   [; expires=][; domain=]   [; path=][; secure][; HttpOnly属性含义 1 secure
Cookie设置HttpOnly属性true
05-25
设置HttpOnly属性true是一种比较常见的安全措施,它可以防止恶意攻击者通过JavaScript等脚本获取用户的Cookie信息。当HttpOnly属性设置true时,浏览器将禁止JavaScript访问该Cookie,只有在HTTP请求才能够使用该Cookie。这样可以有效地防止跨站脚本攻击(XSS)和其他类型的网络攻击。在实际开发,我们可以在服务器设置HttpOnly属性,例如在ASP.NET,可以通过Response.Cookies对象设置HttpOnly属性true。在其他编程语言,也可以通过类似的方式来设置HttpOnly属性
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘桂香263

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值