Cookie的Secure属性和HttpOnly属性

最新推荐文章于 2024-05-16 07:05:03 发布
最新推荐文章于 2024-05-16 07:05:03 发布
阅读量1.1k 收藏
点赞数
分类专栏: html+js+jquery+css
原文链接:https://www.cnblogs.com/diligenceday/p/10885868.html
版权

  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。

Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。

例子是:

前提条件:https://localhost:9102应用对cookie设置了Secure=true

1. 访问 https://localhost:9102/manager

2. 输入用户名、密码,用IE或者Chrome的developer tool会看到response的header里,set-cookie的值里有Secure属性

3. 登录后,继续访问https://localhost:9102/manager#user,可以正常看到内容

4. 修改url,访问http://localhost:9100/manager#domain,会跳转到登录页面,因为cookie在http协议下不发送给服务器,服务器要求用户重新登录

飞翔的熊blabla
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7938
Cookie 有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie实现原理、安全处理和使用案例
最新发布
05-16 955
cookie实现原理、安全处理和使用案例
Cookie设置了 HttpOnlySecure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2324
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
浅析cookiesecure篇
a7442358的专栏
12-21 1374
浅析cookiesecure篇
Cookie属性secure、httponly
weixin_44843710的博客
12-02 1382
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
cookiesecure属性详解
09-03
Cookie是Web应用用于存储用户状态的一种机制,它在客户端与服务器之间传递信息,常见的应用场景包括用户登录状态的保持、个性化...同时,结合HTTPOnly属性,可以进一步防止JavaScript注入攻击,增强Cookie的安全性。
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
Session CookieHttpOnlysecure属性
10-29
首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
PHP设置CookieHTTPONLY属性方法
12-18
3. **Cookie安全性**:除了HTTPOnly,还可以使用Secure标志(只在HTTPS连接发送Cookie),以及SameSite属性(防止CSRF跨站请求伪造攻击)来提高Cookie的安全性。 4. **Cookie的读取**:在PHP,可以通过`$_...
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8429
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
前端cookie设置httpOnlysecure拿不到,换成localstorage+加密方式
寬真
10-14 2972
token用接口获取,然后设置在cookie,以后每个接口调用都要获取这个cookie并且设置在接口的请求头部,由于安全检查,要添加httpOnly,和secure,但导致js获取不到cookie,从而导致调用失败,所以必须换种方式换成其他方式,我换成的localstorage+加密的方式。httpOnly:防止xss攻击,js等非http,https协议方式拿不到cookie,secure:https才能传输。
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
sunsineq的专栏
06-25 2984
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
增加 cookie 安全性添加HttpOnlysecure属性
轻描淡写
10-12 5008
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
php cookie httponly,Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性设置方法
weixin_36296064的博客
03-09 1271
吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 缺少 HTTPSOnly 属性,还有一个就是 Secure 属性,另外两个就是 robots.txt 和网站地图 sitemap,既然强行说我有漏洞,那就积极响应整改修复,毕竟在子凡眼里是不容这种低级错误发生的。由于我们泪雪网使用 PH...
Tp5开启cookie和session安全传输secure和httponly
李维山的博客
08-07 1950
在配置文件 config.php 设置如下: // +---------------------------------------------------------------------- // | 会话设置 // +---------------------------------------------------------------------- 'session' => [ 'id' => '', // SESSI
Cookie设置HttpOnlySecure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese创建Web工程时,有个
http请求报文secure和httponly
06-07
在HTTP请求报文Secure和HttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被途窃取或篡改。如果一个CookieSecure属性没有设置,那么这个Cookie可以在HTTP和HTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTP或HTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置Secure和HttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值