鸡肋的HttpOnly

最新推荐文章于 2024-03-29 10:01:58 发布

会飞的胖海

最新推荐文章于 2024-03-29 10:01:58 发布

阅读量2k

点赞数 4

文章标签：前端

本文链接：https://blog.csdn.net/weixin_44074543/article/details/124610160

版权

最近在做防爬，想看看从前端角度有什么方法解决，了解到了HttpOnly，刚开始还感觉这个有点意思，后来深入了解后这个还真只是有点意思。

首先，httpOnly可以防止js读取cookie，看着很牛逼，但是也仅限于此。

这个属性注定了它无法通过js设置，只能通过服务端设置，但是设置后并不是就万事大吉了。js虽然不能设置httpOnly，但是在部分浏览器中js可以将httpOnly覆盖。而且虽然无法通过js获取cookies，但是只要打开控制台，依然可以获取到cookie

httpOnly只是对cookies生效，如果不用cookie做身份凭证，那么httpOnly就没有用。

从通用性来讲，httpOnly属性还不如下面两行代码有用

// 禁止右键
document.oncontextmenu = new Function("event.returnValue=false");
// 禁止F12
document.onkeydown = new Function("event.returnValue=false");

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

会飞的胖海

关注关注

4
点赞
踩
6

收藏

觉得还不错? 一键收藏
1
评论
鸡肋的HttpOnly

鸡肋的HttpOnly
复制链接

扫一扫

.net 获取浏览器Cookie(包括HttpOnly)实例分享

10-26

介绍了.net 获取浏览器Cookie(包括HttpOnly)实例，有需要的朋友可以参考一下

PHP设置Cookie的HTTPONLY属性方法

10-20

下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧

1 条评论您还未登录，请先登录后发表或查看评论

浏览器中的HttpOnly是什么

热门推荐

willie_chen的专栏

08-02

2万+

描述： 1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 2.HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高...

httpwebreqeust读取httponly的cookie方法

08-31

下面小编就为大家带来一篇httpwebreqeust读取httponly的cookie方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧

session配置secure和httpOnly

03-16

本文档描述了关于cookie的http-only和secure的简介，和如何设置该属性，以及设置该属性会遇到的问题解决方法

xss防御之php利用httponly防xss攻击

10-26

主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下

cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击.zip_js设置cookie值

01-07

java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击.zip

HttpOnly 标志–保护 Cookies 免受 XSS 攻击

liuqinhou的博客

06-06

1694

1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性，那么通过将无法读取到cookie信息，只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie，并且客户端脚本代码尝试读取该cookie，则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码（通常是XSS）将数据发送到攻击者的网站来使攻击失败。跨站点脚本（XSS）攻击通常旨在窃取会话Cookie。

[xss-3]httponly绕过

qq_41889600的博客

11-23

2689

小迪安全 xss httponly绕过

HttpOnly 标志——保护 Cookie 免受 XSS

allway2的博客

08-02

2963

然而，在日常使用中，Web应用程序很少需要通过JavaScript访问cookie。因此，设计了一种保护cookie免受此类盗窃的方法一个标志，告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie，如果连接是HTTP，浏览器将永远不会发送cookie。HTTP响应标头的可选属性，由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie，具体取决于访问者与设置cookie的站点的交互方式。...

HttpOnly作用

qq_36009580的博客

06-13

1049

防止通过脚本读取setCookie中的内容，进而防止XXS攻击

http-only的作用

佟是佟博的佟

06-11

1万+

httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。我们登陆某银行网站后，服务器会写一些cookie到我们的浏览器，当下次再访问其他页面时，由于浏览器回自动传递cookie，这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说，实质上，所有的登陆状态这些都是建立在cookie上的！假设我们登陆后的cookie被人获得，那就

利用httponly提升应用程序安全性（转载）

weixin_33774615的博客

07-22

139

随着www服务的兴起，越来越多的应用程序转向了B/S结构，这样只需要一个浏览器就可以访问各种各样的web服务，但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现，Http是无状态的协议，所以为了在各个会话之间传递信息，就不可避免地用到Cookie或者Session等技术来标记访问者的状态，而无论是Cookie还是Session，一般都是利用Cookie来实现的（Ses...

什么是http-only？这个是干什么用的？

qq_43348375的博客

10-28

1万+

敲黑板：http-only能够有效地防止XSS攻击。 1、什么是http-only？ HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag，所以它是后端服务器对cookie设置的一个附加的属性，在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险（如果浏览器支持的话）通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。 2、这个是干什么用的？其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通

nginx httponly

09-14

However, Nginx itself does not directly support setting the `HttpOnly` flag for cookies. The `HttpOnly` flag is a security feature that can be added to cookies to restrict their access from client-...

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交