谷歌浏览器HttpOnly跨域请求

已于 2022-12-03 10:47:20 修改
阅读量834 收藏
点赞数 1
分类专栏: 真实现场问题排查过程 文章标签: javascript java 开发语言
于 2022-12-03 10:42:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42537012/article/details/125453828
版权

谷歌浏览器HttpOnly跨域请求

谷歌浏览器HttpOnly跨域请求

后台获取JSESSIONID

 	@RequestMapping("/getSession")
    public ResultModel getSession(HttpServletRequest request,LoginParam loginParam) {
        HttpSession session = request.getSession();
        String sessionId = session.getId();
        session.setAttribute("sessionId","sessionId");
        Map<String,String> obj = new HashMap<String,String>();
        obj.put("sessionId",sessionId);
        return protocolBuilder.build(obj, "登录接口调用成功");
    }

前台设置JSESSIONID

	let sessonId = data.data.sessionId;
    let days = 1;
    let nowTime = new Date();
    nowTime.setTime(nowTime.getTime() + days * 24 * 60 * 60 * 1000)
	document.cookie = 'JSESSIONID=' + sessonId + ';expires=' + nowTime + ';path=/';

问题表现


Request URL: http://127.0.0.1:8080/getSession

Request Method: POST

Status Code: 200 OK

Remote Address: 127.0.0.1:8080

Referrer Policy: strict-origin-when-cross-origin

Access-Control-Allow-Credentials: true

Access-Control-Allow-Origin: http://127.0.0.1:8080

Access-Control-Expose-Headers: Set-Cookie

Content-Language: zh-CN

Content-Length: 161

Content-Type: text/json;charset=UTF-8

Date: Wed, 30 Nov 2022 10:13:51 GMT

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=C8F8DA6AF9B7BCECDCED6680049ECA61; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/; HttpOnly

Accept: application/json, text/plain, */*

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Connection: keep-alive

Content-Length: 91

Content-Type: application/x-www-form-urlencoded; 

charset=UTF-8

Host: 192.100.2.74:8888

Origin: http://192.100.2.226:32699

Referer: http://192.100.2.226:32699/

User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Mobile Safari/537.36

浏览器报错

在这里插入图片描述

Set-Cookie: JSESSIONID=C8F8DA6AF9B7BCECDCED6680049ECA61; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/; HttpOnly

简单的来说就是出现了跨域请求,但浏览器的HttpOnly是不支持跨域下cookie操作的。因此设置cookie失败。

解决方法有很多,有通过代码解决的,可以通过设置浏览器来解决,但是不能要求所有用户都改浏览器设置,我由于是自己的项目,就直接设置浏览器了。

插件解决

谷歌版本如下图所示:
在这里插入图片描述所以就是下载的插件解决的

链接:https://pan.baidu.com/s/1U_U8a9ZARVJRdh-UeHP7ig
提取码:kbml

打开谷歌浏览器,地址栏输入:chrome://extensions/然后打开开发者模式,把下载的拖进去即可!

胤墨
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
获取IE浏览器Cookie信息的方法
08-31
在IE浏览器中,可以通过调用Windows API函数来获取这些信息。 对于简单的Cookie获取,可以使用`InternetGetCookie`函数,它是Windows API的一部分,存在于`wininet.dll`库中。该函数的声明如下: ```vba Private ...
ASP.Net WebAPI与Ajax进行跨域数据交互时Cookies数据的传递
10-19
这是因为浏览器的安全策略限制了Ajax请求跨域获取Cookies,除非特别配置。本文将详细介绍一种解决方案,即通过设置Cookies的Domain属性和利用Jsonp数据类型来实现跨域数据交互。 首先,我们需要理解为什么默认情况...
浏览器中的HttpOnly是什么
最新发布
常备不懈
03-29 761
HttpOnly标志是一个安全特性,由服务器通过设置在HTTP响应头中的`Set-Cookie`字段来启用。启用后,它告诉浏览器这个特定的Cookie应该对客户端的JavaScript代码不可访问,以防止例如跨站脚本(XSS)的攻击者通过脚本窃取Cookie信息。虽然HttpOnly不是全面防护措施,但它显著增加了攻击者盗取用户会话的难度。
Cookie中HttpOnly的使用方式以及用途
热门推荐
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
关于属性HTTPONLY的COOKIE的获取
windless0530的专栏
05-21 8721
IE8以上,InternetGetCookieEx可以传参数INTERNET_COOKIE_HTTPONLY (值为0x2000) 来获取这类COOKIE,但在IE6上就没办法了。所以,获取COOKIE最稳妥的方式还是要属自己去解析文本。 
使用 Chrome 获取 Cookie 的数据
一个程序员的成长之路。。。
01-19 2万+
Chrome 浏览器自带的开发功能相当强大,这里只使用它的抓包功能。 一、在浏览器中打开目标网站并登录,进入目标页面。二、在 Chrome 浏览器下方的开发工具中单击 Network 标签页。按 F5 键,刷新页面。会在浏览器中得到很多数据,然后在 Filter 框中输入目标页面的关键词,找到发送请求的Request三、单击该关键词的Request,在打开的界面中单击 Headers 标签,得到这
HTTP-only Cookie 脚本获取JSESSIONID的方法
氼兲戦S無撩
08-21 1万+
HTTP-only Cookie 脚本获取JSESSIONID的方法 实现隐藏sessionid
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1732
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie。
Vue axios 跨域请求无法带上cookie的解决
10-14
主要介绍了Vue axios 跨域请求无法带上cookie的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
httpwebreqeust读取httponly的cookie方法
08-31
但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,例如在使用`HttpWebRequest`类进行网络请求时。本文将详细介绍如何在C#中使用`HttpWebRequest`读取`HttpOnly`的Cookie。 首先,`HttpWebRequest`对象...
PHP设置Cookie的HTTPONLY属性方法
10-20
在Web开发中,Cookie是一种重要的技术,用于...但请注意,HTTPOnly并不能防止所有类型的攻击,例如跨站请求伪造(CSRF)等。因此,综合运用多种安全策略,如输入验证、输出编码、CSRF令牌等,是构建安全Web应用的关键。
安全检测:会话cookie中缺少HttpOnly属性
qq_37432174的博客
01-02 6091
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
JAVA设置HttpOnly Cookies
y41992910的博客
02-22 4998
核心: 1.获取cookie Cookie[] cookies = request.getCookies(); 2.判断cookie是存储用户信息的,设置HttpOnly for (Cookie cookie2 : cookies) { System.out.println(cookie2.getName()); System.out.println(cookie2); if (cookie2.g...
网安学习Day19
weixin_44770698的博客
05-16 425
XSS入门学习与对应的练习
新版本chrome浏览器带来的跨域请求cookie丢失问题
qq_16059847的博客
09-27 5346
今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。 chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://githu
Java 设置 httponly cookie
allway2的博客
08-02 5234
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
SpringBoot HTTP接口实战
fsd1112的博客
05-25 551
作用于形参列表上,用于将前台发送过来固定格式的数据【xml 格式或者 json等】封装为对应的 JavaBean 对象,封装时使用到的一个对象是系统默认配置的 HttpMessageConverter进行解析,然后封装到形参上。作用于方法上,@RequestParam 注解配合 @RequestMapping 一起使用,可以将请求的参数同处理方法的参数绑定在一起。使用在控制层(controller)的方法上,将方法的返回值,以特定的格式写入到response的body区域,进而将数据返回给客户端。
chrome插件获得http请求头
万物皆字节
11-29 4364
background.js chrome.webRequest.onBeforeSendHeaders.addListener(function (details) { const requestHeaders = details.requestHeaders console.log(requestHeaders) for (let i = 0; i < requestHeaders.length; i++) { const .
Web电商安全之xss学习
weixin_45931722的博客
07-21 1004
Web电商安全之xss学习 最近在改造一个开源电商平台作为电商漏洞平台供大家去学习参考常见的电商web漏洞,今天是做的xss这块,发现htmlspecialchars这个函数与HttpOnly的重要性 首先我是找到了xss免费平台注册账号使用 之后观察电商网页的注册页面试图插入xss恶意脚本 发现有对长度和字符的判断,观察了项目代码发现是前端有ajax以及正则表达式(这个看不懂也不是会…),后端的判别也是防止注入各种过滤很难去改动,于是我就寻找其他地方。 在商品评价里发现可以有进展,通过在phpstor
火狐浏览器怎么将cookie设置HttpOnly
06-12
要设置HttpOnly cookie,可以在火狐浏览器中使用以下步骤: 1. 打开火狐浏览器并输入about:config,按回车键。 2. 在搜索框中输入network.cookie.cookieBehavior,找到该项并将其设置为4。 3. 在搜索框中输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

胤墨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值