cookie httponly ajax,HostOnly Cookie和HttpOnly Cookie

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量449 收藏
点赞数
文章标签: cookie httponly ajax

怎么使用Cookie?

通常我们有两种方式给浏览器设置或获取Cookie,分别是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header,以及通过JavaScript对document.cookie进行赋值或取值。

rfc6265第5.2节定义的Set-Cookie Header,除了必须包含Cookie正文,还可以选择性包含6个属性path、domain、max-age、expires、secure、httponly,它们之间用英文分号和空格("; ")连接。

Cookie的正文部分,是由&连接的key=value键值对字符串,类似于url中的查询字符串。下面是一个标准的Set-Cookie Header:

Set-Cookie: key=value; path=path; domain=domain; max-age=max-age-in-seconds; expires=date-in-GMTString-format; secure; httponly

在浏览器端,通过document.cookie也可以设置Cookie,以MDC文档为例,Cookie的内容除了必须包含正文之外,还可选5个属性:path、domain、max-age、expires、secure。下面是简单的示例:

document.cookie = "key=value; path=path; domain=domain; max-age=max-age-in-seconds; expires=date-in-GMTString-format; secure";

有两点需要说明:

max-age作为对expires的补充,现阶段有兼容性问题(IE低版本不支持),所以一般不单独使用;

JS中设置Cookie和HTTP方式相比较,少了对HttpOnly的控制,是因为JS不能读写HttpOnly Cookie;

我在各浏览器测试后发现, 如果不考虑HttpOnly,通过JS或HTTP方式设置的Cookie没有区别;通过JS或HTTP方式获取到的Cookie内容也是一样的。所以本文后续测试中,不需要注明是通过何种方式操作的Cookie。

什么是HostOnly Cookie?

rfc6265第5.3节定 义了浏览器存放每个Cookie时应该包括这些字段:name、value、expiry-time、domain、path、creation- time、last-access-time、persistent-flag,、host-only-flag、secure-only-flag和 http-only-flag。

其中:

name、value:由Cookie正文指定;

expiry-time:根据Cookie中的expires和max-age产生;

domain、path:分别由Cookie中的domain和path指定;

creation-time、last-access-time:由浏览器自行获得;

persistent-flag:持久化标记,在expiry-time未知的情况下为false,表示这是个session cookie;

secure-only-flag:在Cookie中包含secure属性时为true,表示这个cookie仅在https环境下才能使用;

http-only-flag:在Cookie中包含httponly属性时为true,表示这个cookie不允许通过JS来读写;

host-only-flag:在Cookie中不包含Domain属性,或者Domain属性为空,或者Domain属性不合法(不等于页面url中的Domain部分、也不是页面Domain的大域)时为true。此时,我们把这个Cookie称之为HostOnly Cookie;

那么host-only-flag如果为true会怎样呢?rfc6265里有这么一段:

Either: The cookie's host-only-flag is true and the canonicalized request-host is identical to the cookie's domain.

Or:  The cookie's host-only-flag is false and the canonicalized request-host domain-matches the cookie's domain.

获取Cookie时,首先要检查Domain匹配性,其次才检查path、secure、httponly等属性的匹配性。如果host- only-flag为true时,只有当前域名与该Cookie的Domain属性完全相等才可以进入后续流程;host-only-flag为 false时,符合域规则(domain-matches)的域名都可以进入后续流程。

举个例子,host-only-flag为true时,Domain属性为example.com的Cookie只有在example.com才有 可能获取到;host-only-flag为false时,Domain属性为example.com的Cookie,在example.com、 www.example.com、sub.example.com等等都可能获取到。

下面,我们来研究下各浏览器对HostOnly Cookie,也就是Cookie的host-only-flag属性的支持情况。

支持度测试

在qgy18.com,设置如下HostOnly Cookie:

name=ququ; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/

访问www.qgy18.com,获取Cookie,结果如下:

浏览器

在www.qgy18.com获取到的Cookie

Chrome 29.0.1547.3 dev

Firefox 22.0

Chrome 27.0.1453.116 m

IE 6.0.2900.5512

name=ququ

IE 10.0.9200.16438

name=ququ

Opera 12.15(Presto内核,非Webkit)

iOS Safari 6.1.3

Safari 7.0

小结:

IE系列(表中只列了IE6和10,实际上IE6-IE10都测过)不支持HostOnly Cookie。在qgy18.com设置的Cookie,www.qgy18.com可以直接获取到。

其它浏览器支持HostOnly Cookie。本测试中,对于非IE:获取Cookie的页面Domain是www.qgy18.com,由于设置Cookie时没有指定Domain, 按照前面的规则,host-only-flag为true,Cookie的Domain属性是qgy18.com,二者不完全匹配,所以获取不到这个 Cookie。

对于非HostOnly Cookie,例如在qgy18.com设置Cookie时指定Domain为qgy18.com,在www.qgy18.com可以获取到这个Cookie,这时候host-only-flag为false。

Cookie覆盖测试

在www.qgy18.com,设置以下3条Cookie:

、name=ququ1; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/

、name=ququ2; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=.www.qgy18.com

、name=ququ3; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=www.qgy18.com

访问www.qgy18.com,获取Cookie,结果如下:

浏览器

在www.qgy18.com获取到的Cookie

Chrome 29.0.1547.3 dev

name=ququ1; name=ququ3

Firefox 22.0

name=ququ1; name=ququ3

Chrome 27.0.1453.116 m

name=ququ1; name=ququ3

IE 6.0.2900.5512

name=ququ3

IE 10.0.9200.16438

name=ququ3

Opera 12.15(Presto内核,非Webkit)

name=ququ3

iOS Safari 6.1.3

name=ququ3; name=ququ1

Safari 7.0

name=ququ3; name=ququ1

规范里有两点规定需要先说明下:

设置Cookie时,Domain属性值如果是.a.com,前面的.会被去掉,变成a.com(rfc6265第5.2.3节);

对于name、path和domain均相同的Cookie,后面的覆盖前面的(rfc6265第5.3节第10段);

小结:

由于IE系列不支持HostOnly Cookie,三个语句对于IE来说是完全一样的(1没有指定Domain,自动使用请求头中的Host或者页面url中的Domain部分作为 Cookie的Domain属性,都是www.qgy18.com),后面覆盖前面,只剩下name=ququ3;

分歧出在Presto内核的Opera与Chrome、Safari和Firefox之间:Opera认为三个语句的name、path和 domain均相同,产生了跟IE一样的结果;其它浏览器认为host-only-flag为true的Domain和其它两个不同,所以只有语句3可以 覆盖2,剩下1和3;

从各自控制台展示的Cookie信息印证了这一点:

Chrome、Safari和Firefox都把HostOnly Cookie的Domain显示为真正的Domain,非HostOnly Cookie的Domain前面多加了一个英文句号.。这样,前面的结果似乎也解释得过去:对于Chrome、Safari和Firefox,由于.的存 在,第1条语句的Domain和其它两个确实不一样,不会被覆盖。

017132fbbeb15f64d23c0ff7a473683a.png (Chrome 29.0.1547.3 dev)

fc704cc393a474eb034ea16cafb2c4fa.png (Firefox 22.0 )

90d16c9bbe97383f8c0708b2f44b3eac.png (Safari 7.0)

702289caa075dbbcd39b4074d3fab1c7.png (Opera 12.15 )

bb0e65866a3c5dcb831d73a69d887e24.png (IE 10.0.9200.16438 )

大家应该注意到了:本节测试中,Safari获取到的Cookie顺序与其它浏览器不一样。这是个大隐患,无论是用JS还是HTTP获取这个Demo里的Cookie,都会在Safari下得到不一样的结果。Cookie的优先级问题我打算找时间详细测试下,再单独讨论。

结论

在我测试过的浏览器中:

除开IE,Chrome/Firefox/Safari/Opera都支持HostOnly Cookie,可以限制Cookie只有在Domain完全匹配时才可用;

Opera的HostOnly Cookie会被domain、path和name相同的非HostOnly Cookie覆盖;

Chrome/Firefox/Safari中,非HostOnly Cookie的Domain属性前面多了一个.,与没有.的HostOnly Cookie不存在覆盖的可能;

同名Cookie优先级存在浏览器差异,实际项目中应该避免出现同名Cookie;

之前有同学问过Chrome开发工具看到的Cookie为什么有些前面有.,有些没有?经过前面的分析,大家应该都知道原因了吧。

另外,想不通为什么host-only-flag,没有像http-only-flag或secure-only-flag一样,有对应的属性可以直接设置呢?

加支付宝好友偷能量挖...

2015-7-1Web开发网

weixin_39964660
关注
cookie httponly ajax,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_33921444的博客
08-05 594
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3218
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
【前端安全】cookie中如果给某个字段设置了HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 594
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
关于cookiehttponly属性
zhaowei的专栏
06-15 9016
    httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cook
Cookie中的httponly的属性和作用
热门推荐
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
cookie httponly
u013803262的专栏
04-14 658
Java 中的JSESSIONID的cookie。默认是httponly 具体啥是httponly 设置cookiehttponly将无法被javascript读取到。 所以默认情况下JavaScript是无法通过读取JSESSIONID的值再到服务器端找与之相对应的Session里面的数据但还是有办法的,就是将JSESSIONID设置为 非httponly Cookie cookie =
LocalStorage与Cookies:关于在前端安全存储JWT令牌的所有知识
weixin_26737625的博客
08-23 1803
We went over how OAuth 2.0 works in the last post which covered how to generate access tokens and refresh tokens. What’s next is how do you store them securely in your front-end? 我们在上一篇文章中介绍了OAuth 2.0...
2023高薪前端面试题(一、前端基础——HTTP/HTML/浏览器)
iaz999的博客
04-29 3233
语义化就是构成HTML结构的标签要有意义。比如有这样的标签:header表示页面头部main表示页面主题footer表示页面底部那么这些标签构成的HTML结构就是有意义的,也是语义化的。​ 如果说页面的头部、主体以及底部都用div来表示,那么他就不是一个语义化的HTML结构了。
C# NetCut / Only
07-18 4282
本类库实际上是一种很失败的东西,至少在我看来是足够失败 当时也不知道是头发热 还是人未醒,居然会去拦截WinInet,看来几年前学习的WebProxy与HTTP是白学了, 我想应该是 Retrieve-HttpOnly-Session-Cookie-in-WebBrowser 这篇帖子中的一些话 误导了我把,本类库的源代码实际上只是提供给大家学习API-HOOK的一个小小应用 不过AP
(建议精读)HTTP灵魂之问,巩固你的 HTTP 知识体系
m0_67698950的博客
08-10 505
从前面的小节可以知道,HTTP 传输是基于请求-应答的模式进行的,报文必须是一发一收,但值得注意的是,里面的任务被放在一个任务队列中串行执行,一旦队首的请求处理太慢,就会阻塞后面请求的处理。这就是著名的HTTP队头阻塞问题。前面说到了 HTTP 是一个无状态的协议,每次 http 请求都是独立、无关的,默认不需要保留状态信息。但有时候需要保存一些状态,怎么办呢?HTTP 为此引入了 Cookie。...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
cookiehttpOnly属性
harmsworth的博客
07-06 7294
cookiehttpOnly属性 前言 cookie 有一个 httpOnly 属性,可以设置一个 只能在服务端设置的cookie 的键值对,即禁止客户端修改携带 httpOnly 属性的 cookie 键值对。 代码 // app.js const http = require('http') const userId = 123456 let resData = { time: Date...
cookie httponly ajax,Jquery Ajax CORS + HttpOnly Cookie
weixin_34521351的博客
08-05 257
I have got CORS working on my current project, although one thing I cannot seem to get working correctly is the cookies.Now I get the cookie fine, the server issues it and sends it down and firefox ac...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 3150
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie httponly ajax,为什么jquery的.ajax()方法没有发送我的会话cookie
weixin_34620658的博客
08-05 429
通过$.ajax()登录到站点后,我正在尝试向该站点发送第二个$.ajax()请求 - 但是当我检查使用FireBug发送的标头时,请求中不包含会话cookie 。我究竟做错了什么?#1楼我遇到了同样的问题并做了一些检查我的脚本只是没有得到sessionid cookie。我通过查看浏览器中的sessionid cookie值得出结论,我的框架(Django)默认使用HttpOnly传递sessi...
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 6400
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
java ajax cookies_HttpOnly cookie如何处理AJAX请求?
weixin_39996101的博客
02-13 332
如果在具有基于cookie的访问限制的站点上使用AJAX,则JavaScript需要访问cookie . HttpOnly cookies会在AJAX网站上运行吗?编辑:如果指定了HttpOnly,Microsoft通过禁止JavaScript访问cookie创建了一种防止XSS攻击的方法 . FireFox后来采用了这个 . 所以我的问题是:如果你在一个网站上使用AJAX,比如StackOv...
理解Session CookieHttpOnly与secure属性
"Session CookieHttpOnly和secure属性" 在网络安全中,Session Cookie是用于跟踪用户会话的关键元素。本文将详细探讨两个与Session Cookie相关的安全属性:`secure`和`HttpOnly`,以及它们在实际应用中的作用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值