Cookie对象HttpOnly和secure属性

最新推荐文章于 2023-12-02 14:58:34 发布
最新推荐文章于 2023-12-02 14:58:34 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: web 文章标签: Cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whaxrl/article/details/48782095
版权


Secure


1、安全,指定cookie的值通过网络如何在用户和WEB服务器之间传递。

2、这个属性的值或者是“secure”,或者为空。缺省情况下,该属性为空,也就是使用不安全的HTTP连接传递数据。如果一个 cookie 标记为secure,那么,它与WEB服务器之间就通过HTTPS或者其它安全协议传递数据。不过,设置了secure属性不代表其他人不能看到你机器本地保存的cookie。换句话说,把cookie设置为secure,只保证cookieWEB服务器之间的数据传输过程加密,而保存在本地的cookie文件并不加密。如果想让本地cookie也加密,得自己加密数据。

 


HttpOnly


1、如果在Cookie中设置了"HttpOnly"属性,那么通过后台程序读取,JS脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击。

2、但是设置HttpOnly属性,Cookie盗窃的威胁并没有彻底消除,因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。

 


参考资料: Cookie常用属性    http://www.studyofnet.com/news/1053.html


whaxrl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈HTTP CookieSecure 和 HTTPONLY属性
一些好玩的东西
10-10 1万+
最近工作中遇到了关于cookiesecure及httponly属性的问题, 所以关注并学习了一段时间,这里做一下简要记录。关于secure和httponly标志的用途可以参考wikipedia. Secure cookieA secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7939
Cookie 中有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
Cookie属性secure、httponly
最新发布
weixin_44843710的博客
12-02 1396
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
java cookie secure_Cookie设置HttpOnlySecure,Expire属性
weixin_42356811的博客
02-23 334
标签:在eclipese中创建Web工程时,有个dynamic web module version选项,首先解释下这个选项的意思:That version correlates with Servlet API version.Servlet 3.0(released at december 2009 as part of Java EE 6) runs on Servlet 3.0 con...
Cookie设置HttpOnlySecure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
Session CookieHttpOnlysecure属性
10-29
首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
cookiesecure属性详解
09-03
Cookie是Web应用中用于存储用户状态的一种机制,它在客户端与服务器之间传递信息,常见的应用场景包括用户登录状态的保持、个性化...同时,结合HTTPOnly属性,可以进一步防止JavaScript注入攻击,增强Cookie的安全性。
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
PHP设置CookieHTTPONLY属性方法
12-18
3. **Cookie安全性**:除了HTTPOnly,还可以使用Secure标志(只在HTTPS连接中发送Cookie),以及SameSite属性(防止CSRF跨站请求伪造攻击)来提高Cookie的安全性。 4. **Cookie的读取**:在PHP中,可以通过`$_...
Http Cookie里面HttpOnlySecure标记
daruanhu7748的博客
11-02 568
Secure The secure option is a flag that can be set by the application server when sending a new cookie to the user within a HTTP Response. The purpose of the secure flag is to prevent cookie fro...
Cookie属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 883
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
umi umijs 代理https时应该设置secure属性
普罗旺斯的梦
02-01 1562
outputPath: './dist', publicPath: './', proxy: { '/admin-server': { target: 'https://admin-szjsc.thecityos.com', changeOrigin: true, secure: false, }, },
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置‘Secure‘属性(CWE-614)
Tianqi_Wukong的博客
01-20 804
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置’Secure’属性(CWE-614:Generation of Error Message Containing Sensitive Information) 什么是HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷? HTTPS会话里的敏感Cookie没有设置’Secure’属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。 HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷构成条
关于 http https javascript cookie secure 实验
cigun5090的博客
12-31 253
实验环境 同一个web应用,同时支持 http 访问和 https 访问, 如: http://localhost/auth https://localhost/auth 使用Chrome浏览器, 首先访问 http://localhost/auth 然后 浏览器 F12 ...
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 3138
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
jsoup请求头添加cookie_使用用户名和密码发送POST请求并保存会话cookie
weixin_36169520的博客
01-14 333
小编典典假设HTML表单如下所示:您可以发布它并获取cookie,如下所示:Response response = Jsoup.connect("http://example.com/login").method(Method.POST).data("username", username).data("password", password).data("login", "Login").exe...
CookieSecure属性
weixin_30549175的博客
12-15 1913
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
http请求报文中的secure和httponly
06-07
在HTTP请求报文中,Secure和HttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被中途窃取或篡改。如果一个CookieSecure属性没有设置,那么这个Cookie可以在HTTP和HTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTP或HTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置Secure和HttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发中,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet中,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值