cookie的secure属性

最新推荐文章于 2024-08-14 10:39:59 发布
最新推荐文章于 2024-08-14 10:39:59 发布
阅读量231 收藏
点赞数
分类专栏: 网络安全 网络编程 文章标签: 服务器 domain 浏览器 加密 path web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sybtjp/article/details/6707810
版权

你还记得服务器端发送 Set-Cookie: 头部的时候可以包括哪些属性么?name=value、path、domain、Expire...这就是全部么?

不知道有多少人能记得这个 secure,并且能第一时间正确说出它的用途,hoho

基本上我们所有的 web 安全都是依靠 cookie 维系的,虽然多多少少会有一些方法来保证攻击者不能随便生成一个 cookie,但对于非加密的 HTTP 来说,监听到别人的 cookie 后然后伪造身份是非常容易的事情。

即使用户通过 https 提交用户名/口令,但 cookie 一旦在 http 通道上被传递给服务器,安全隐患就随之而来了。

Set-Cookie 的 secure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。凡是计划采用 HTTPS 来保证用户帐户安全的同志们都要注意对这个参数的使用,搞不好木桶上的最短板就在这里。

sybtjp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookiesecure属性详解
09-03
服务器通过Set-Cookie响应头设置一个Cookie时,如果加上`secure`属性浏览器将会遵循以下规则: 1. **仅在HTTPS发送**:当用户通过HTTPS与服务器建立安全连接时,浏览器才会将包含`secure`属性Cookie发送给...
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发,保护用户的隐私和数据安全至关重要。其一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
CookieSecure属性
weixin_30549175的博客
12-15 1927
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
java cookie secure_cookiesecure属性详解
weixin_28728425的博客
02-16 1223
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。顾名思义,这个属性就是用来保证cookie的安全的。当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.ba...
cookie
Emperor_CJ的博客
08-21 281
web应用,多个请求之间共享“用户会话”是非常必要的。但HTTP协议是无状态的。那这时Cookie就出现了。那Cookie又是如何处理的呢?Cookie的处理:1.服务端向客户端发送Cookie 2.客户端的浏览器Cookie保存 3.然后在每次请求浏览器都会将Cookie发送到服务端 在HTML文档被发送之前,Web服务器通过传送HTTP 包头Set-Cookie 消息
Cookiesecure 属性
追随大师的脚步,,,
11-19 620
但凡做web项目的,或多或少的会接触cookie。做j2ee也不例外。本人也一直使用,不能说不熟,但今天有人问.setSecure();方法的作用时,还真不敢说出一二来。因为我没使用过。只是看书时,有这样的一句话:      Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接浏览器传递到服务器端进行会话验证,如果是 H...
COOKIESECURE属性
几钱清风
11-17 7504
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
小兵qwer的专栏
08-16 8659
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
基于Cookie常用操作以及属性介绍
12-12
以下是关于Cookie的一些基本操作和属性的详细解释: 1. **设置Cookie**: 要设置Cookie,你可以使用`document.cookie`属性。例如,设置一个名为`userName`的Cookie值为`fengkaicahng`,可以这样写: ```...
Cookie属性secure、httponly
weixin_44843710的博客
12-02 1699
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
cookie setSecure详解
zzhongcy的专栏
03-31 7842
最近项目用检测漏洞 在cas或其他web开发,会碰到安全cookie的概念,因为CASTGT是存放在安全cookie的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
会话Cookie未设置Secure属性漏洞
my的博客
01-15 2823
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
cooiek的Secure属性设置
m0_61560589的博客
10-11 2119
cooiek有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
Cookie设置HttpOnly,Secure,Expire属性
lyf_ldh的博客
03-30 539
 在Web工程上增加一个Filter对Cookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, Servl...
服务器数据恢复—raid5阵列热备盘未全部启用导致阵列崩溃的数据恢复案例
最新发布
beiya123的博客
08-14 163
服务器存储数据恢复环境: 一台EMC某型号存储有一组RAID5磁盘阵列。该raid5阵列有12块硬盘,其2块硬盘为热备盘。 服务器存储故障: 该存储raid5阵列有两块硬盘离线,只有1块热备盘启用替换掉其一块离线盘,另外1块热备盘未成功启用,raid5阵列崩溃,存储不可用。 磁盘阵列硬盘离线的原因通常是磁盘存在物理故障或者硬盘出现坏道。由于EMC存储的raid控制器的磁盘检查策略十分严格,经常将硬盘的性能不稳定判定为硬件故障并将该硬盘踢出raid。
cookieSecure属性
07-11
Secure属性是一种用于增强Web应用程序安全性的Cookie属性。当Secure属性设置为true时,表示该Cookie只能通过HTTPS协议进行传输,而不能通过非加密的HTTP协议传输。这意味着只有在使用HTTPS协议进行安全连接时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值