java ajax cookies_HttpOnly cookie如何处理AJAX请求?

最新推荐文章于 2024-03-07 16:05:57 发布
最新推荐文章于 2024-03-07 16:05:57 发布
阅读量326 收藏
点赞数
文章标签: java ajax cookies
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39996101/article/details/114121919
版权

如果在具有基于cookie的访问限制的站点上使用AJAX,则JavaScript需要访问cookie . HttpOnly cookies会在AJAX网站上运行吗?

编辑:如果指定了HttpOnly,Microsoft通过禁止JavaScript访问cookie创建了一种防止XSS攻击的方法 . FireFox后来采用了这个 . 所以我的问题是:如果你在一个网站上使用AJAX,比如StackOverflow,那么Http-Only cookies是一个选择吗?

编辑2:问题2.如果HttpOnly的目的是阻止JavaScript访问cookie,你仍然可以通过JavaScript通过XmlHttpRequest对象检索cookie, what is the point of HttpOnly ?

编辑3:以下是维基百科的引用:

当浏览器收到这样的cookie时,它应该像往常一样在以下HTTP交换中使用它,但不能让它对客户端脚本可见 . [32] HttpOnly标志不是任何标准的一部分,并未在所有浏览器中实现 . 请注意,目前没有阻止通过XMLHTTPRequest读取或写入会话cookie . [33] .

我知道当您使用HttpOnly时 document.cookie 被阻止 . 但似乎您仍然可以在XMLHttpRequest对象中读取cookie值,从而允许使用XSS . HttpOnly如何让你更安全?通过使cookie基本上只读?

在您的示例中,我无法写入您的 document.cookie ,但我仍然可以使用XMLHttpRequest对象窃取您的cookie并将其发布到我的域中 .

var req = null;

try { req = new XMLHttpRequest(); } catch(e) {}

if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}

if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}

req.open('GET', 'http://stackoverflow.com/', false);

req.send(null);

alert(req.getAllResponseHeaders());

编辑4:对不起,我的意思是你可以将XMLHttpRequest发送到StackOverflow域,然后将getAllResponseHeaders()的结果保存到字符串中,正则输出cookie,然后将其发布到外部域 . 维基百科和ha.ckers似乎在这个问题上同意我,但我希望能够重新接受教育......

最终编辑:啊,显然两个网站都错了,这实际上是bug in FireFox . IE6和7实际上是目前唯一完全支持HttpOnly的浏览器 .

重申我所学到的一切:

HttpOnly限制对IE7和FireFox中的document.cookie的所有访问(不确定其他浏览器)

HttpOnly从IE7中的XMLHttpObject.getAllResponseHeaders()中的响应头中删除cookie信息 .

XMLHttpObjects只能提交给它们来自的域,因此没有cookie的跨域发布 .

编辑:此信息可能不再是最新的 .

weixin_39996101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie httponly ajax,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_33921444的博客
08-05 542
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端话状态的问题,这个状...
cookie httponly ajax,HostOnly CookieHttpOnly Cookie
weixin_39964660的博客
08-05 406
怎么使用Cookie?通常我们有两种方式给浏览器设置或获取Cookie,分别是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header,以及通过JavaScript对document.cookie进行赋值或取值。rfc6265第5.2节定义的Set-Cookie Header,除了必须包含Cookie正...
Cookie中的HttpOnly详解
weixin_34127717的博客
11-22 320
详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt377   1.什么是HttpOnly?   如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索 2.javaEE的API是否支持?   目前sun公司还没有公布相关的...
cookie httponly ajax,为什么jquery的.ajax()方法没有发送我的cookie
weixin_34620658的博客
08-05 405
通过$.ajax()登录到站点后,我正在尝试向该站点发送第二个$.ajax()请求 - 但是当我检查使用FireBug发送的标头时,请求中不包含cookie 。我究竟做错了什么?#1楼我遇到了同样的问题并做了一些检查我的脚本只是没有得到sessionid cookie。我通过查看浏览器中的sessionid cookie值得出结论,我的框架(Django)默认使用HttpOnly传递sessi...
ajaxHttpOnly cookie 如何与 AJAX 请求配合使用
最新发布
顺其自然~专栏
03-07 39
抱歉,我的意思是您可以将 XMLHttpRequest 发送到 StackOverflow 域,然后将 getAllResponseHeaders() 的结果保存到字符串中,用正则表达式输出 cookie,然后发布该结果到外部域。您通常可以注入(inject)脚本以使用 iframe 远程处理或 JSONP 将 cookie 发送到您的域,但 HTTP-Only 再次保护 cookie,因为它无法访问。,但我仍然可以窃取您的 cookie 并使用 XMLHttpRequest 对象将其发布到我的域。
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时遇到的问题,以及设置属性的方式
Vue axios 跨域请求无法带上cookie的解决
10-14
主要介绍了Vue axios 跨域请求无法带上cookie的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ajax跨域获取cookie,ajax跨域获取cookie信息(示例代码)
weixin_39914863的博客
08-05 335
js脚本ajax请求news.xxx.com 请求www.xxx.com获取登录状态信息$.ajax({type: "GET",url: ‘http://www.xxx.com/index.php?m=member&‘+Math.random(),data: {},dataType: "Html",xhrFields: {withCredentials: true//为真而执行跨域名请求}...
Ajax跨域请求COOKIE无法带上的完美解决办法
12-09
1、原生ajax请求方式: 1 var xhr = new XMLHttpRequest();  2 xhr.open(“POST”, “http://xxxx.com/demo/b/index.php”, true);  3 xhr.withCredentials = true; //支持跨域发送cookies 4 xhr.send(); 2、jquery的ajax的post方法请求: $.ajax({ type: "POST", url: "http://xxx.com/api/test", dataType: 'json',     // 允许携带证书
前端学习笔记之 HTTP协议、存储、Ajax(十四)
FrebEaton的博客
12-16 2091
week14 HTTP协议、存储、Ajax 前端数据交互与HTTP协议 前后端通信 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <title>初识前后端通信</title> </head> <body> <script> // 1.前后端通信是什么 //
ajax跨域请求及传递cookie
热门推荐
qq_29845761的博客
07-13 5万+
一、ajax跨域访问      先要搞清楚什么是ajax跨域。看如下例子即可明白: 网站A:a.test.com 通过ajax请求网站B:b.test.com上的接口,很明显网站A和网站B 是两个不同的域,而处于安全机制,JS只能访问与所在页面同一个域(相同协议、域名、端口)的内容,但是我们在项目开发时,经常遇到一个页面的js代码,通过ajax去访问另一个服务器并返回数据,这就是ajax跨域
Ajax跨域请求COOKIE无法带上的解决办法
顺其自然~专栏
03-07 56
jquery的ajax的post方法请求。原生ajax请求方式。
浅谈HTTP Cookie 的 Secure 和 HTTPONLY属性
一些好玩的东西
10-10 1万+
最近工作中遇到了关于cookie 的secure及httponly属性的问题, 所以关注并学习了一段时间,这里做一下简要记录。关于secure和httponly标志的用途可以参考wikipedia. Secure cookieA secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring
关于vue的几点认识
用博客记录成长的点滴
01-06 551
微软为了客户端防止攻击,设置了http only属性,一旦该属性值为true,是不允许客户端js获取cookie的值的;
http-only的作用
佟是佟博的佟
06-11 1万+
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。     我们登陆某银行网站后,服务器写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。 也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就
如何使用JavaScript读取HttpOnly cookies
06-11
HttpOnly cookies 是指在客户端 JavaScript 代码中无法访问的一种 cookie,这是为了增强安全性而设计的。因此,无法使用 JavaScript 直接读取 HttpOnly cookies。 但是,可以通过在服务器端读取并将其传递给客户端来访问 HttpOnly cookies。在 JavaScript 中,可以通过向服务器发送 Ajax 请求并在响应中包含 HttpOnly cookies 来访问它们。另外,也可以通过使用服务器端框架来将 HttpOnly cookies 传递到客户端中,如在 Node.js 中使用 Express 框架时,可以使用 `res.cookie()` 函数来设置 HttpOnly cookies,然后在客户端使用普通的 cookie API 读取它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值