【前端】使用Flask框架探讨HttpOnly

最新推荐文章于 2024-04-08 01:31:34 发布
最新推荐文章于 2024-04-08 01:31:34 发布
阅读量2.9k 收藏
点赞数
分类专栏: 前端 Flask 文章标签: Cookie 前端 Flask HttpOnly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yannanxiu/article/details/72811821
版权

前言

在学习Web安全中发现一些感觉比较常见又重要的知识,这里就做下笔记。这一片是讲解关于HttpOnly的知识。

测试环境

  • Python 3.5.1
  • Flask 0.11
  • 谷歌浏览器

什么是HttpOnly?

HttpOnly是Cookie的一个属性,让浏览器禁止页面JavaScript访问带有该属性的Cookie。

HttpOnly解决的是XSS后的Cookie劫持攻击。如果Cookie设置了HttpOnly,JavaScript将读取不到Cookie值。

Flask中设置带有HttpOnly的Cookie

下面就使用Python的Flask框架探讨HttpOnly的效果

from flask import Flask, request, make_response, jsonify

app = Flask(__name__)

app.config["SESSION_COOKIE_HTTPONLY"] = True

@app.route("/")
def index():
    response=make_response('OK')
    response.set_cookie('key', 'value', httponly=False) # 设置httponly
    return response

@app.route('/get/')
def get():
    res = {"key": request.cookies.get("key")}
    return jsonify(res)

@app.route('/js/')
def js():
    js_test = """
    <script>
        alert(document.cookie);
    </script>
    """
    return js_test

if __name__ == '__main__':
    app.run()

运行上面的代码后,首先访问http://127.0.0.1:5000/,再进入「Cookie和网站数据」查看一下Cookie的参数。下面以谷歌浏览器为例。

第一步:进入谷歌浏览器的「设置」,找「隐私设置」的「内容设置」;

内容设置

第二步:找到「内容设置」中的「所有Cookie和网站数据」按钮;

所有Cookie和网站数据

第三步:查看Cookie。

查看Cookie

可以看到,我们的代码response.set_cookie('key', 'value', httponly=False)已经成功设置了Cookie,并且下面的「脚本可访问」的选项是:「是」。也就是说访问http://127.0.0.1:5000/js/页面是可以看到相关值的。

js读取Cookie

下面开始测试httponly的效果。

把有注释「设置httponly」那一行的代码httponly参数改为True

重启Flask,刷新http://127.0.0.1:5000/,重新进入「所有Cookie和网站数据」页面。可以看到脚本可访问」的选项改变了。

脚本不可访问

刷新http://127.0.0.1:5000/js/,发现不能看到之前的值了。

无法读取Cookie

最后访问一下http://127.0.0.1:5000/get/,可以正常看到:

{
  "key": "value"
}

这是因为浏览器把Cookie提交上去,由服务器端返回回来的结果。

结语

经过上面的步骤,我们可以知道了设置Cookie的HttpOnly属性可以防止浏览器的JS访问相关Cookie。

阏男秀
关注
专栏目录
Python中的全栈开发:前端与后端的完美融合
mrdeam的博客
06-05 524
全栈开发已经成为当今软件开发领域的主流趋势之一,Python作为一种多用途的编程语言,在全栈开发中扮演着重要的角色。本文介绍了使用Python进行全栈开发的一系列技术和最佳实践,包括前端和后端框架的选择与集成、跨域资源共享(CORS)、数据传输格式、身份验证和授权、异步编程、日志记录和错误处理、单元测试和集成测试、安全性考虑、数据库集成、实时通信、缓存和性能优化以及扩展功能和插件等方面。全栈开发不仅仅是技术上的挑战,还涉及到团队协作、项目管理、用户体验等多个方面。
前端(Bootstrop、Flask
qq_43281189的博客
02-28 794
1. Bootstrop 1.1 什么是Bootstrop: Bootstrap是美国Twitter公司的设计师Mark Otto和Jacob Thornton合作基于HTML、CSS、JavaScript 开发的简洁、直观、强悍的前端 开发框架,使得 Web 开发更加快捷。Bootstrap提供了优雅的HTML和CSS规范,它即是由动态CSS语言Less写成。 2.2 学习网站 官方中文...
flask 前端应用展示
weixin_34059951的博客
05-24 315
2019独角兽企业重金招聘Python工程师标准>>> ...
flaskhttponly默认值为True
weixin_30915275的博客
10-19 170
如图flask的app.py里显示app的默认配置,httponly默认值为true,所以如果开发者不修改这个配置的话,攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。 Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息,httponly设置也是需要设置两次的 Tsession为flask的app生成的ses...
python轻量级前端Flask
AI蜗牛之家
10-18 1515
做代理池用到的一个Flask,他是一個使用Python编写的轻量级Web应用框架,刚刚入坑,在这存个官方链接 前言 请在使用 Flask 前阅读。希望本文能回答你一些关于 Flask 的用途和目标以及 Flask 适用情境的问题。“微” 是什么意思? “微”(micro) 并不表示你需要把整个 Web 应用塞进单个 Python 文件(虽然确实可以 ),也不意味着 Flask 在功能上有所欠缺
Flask博客项目前端设计
张树的博客
06-25 1219
flask 前端 python
【学习笔记】PythonWeb(Ⅰ)—— Flask
最新发布
Eddie_hyh的博客
04-08 1294
PythonWeb第一部分:Flask
【Python Web框架对比分析】:2023年最新Django、Flask与FastAPI选型指南
[【Python Web框架对比分析】:2023年最新Django、Flask与FastAPI选型指南](https://d2ms8rpfqc4h24.cloudfront.net/Django_Frameworks_6444483207.jpg) # 1. Python Web框架概述 在如今的Web开发世界中,Python...
Flask JWT扩展详解:构建安全的REST API
在构建基于 Flask 框架的 Web 应用程序时,通常需要处理用户认证和授权的问题。Flask-JWT 是一个 Flask 扩展,用于支持基于 JSON Web Token(JWT)的用户认证和授权机制。JWT 是一种用于在网络间安全传递声明的开放...
使用WebSocket实现实时通信应用
# 1. WebSocket简介 WebSocket作为一种在客户端和服务器之间实现双向通信的协议,已经在现代Web应用开发中得到广泛应用。... ## 1.1 什么是WebSocket? WebSocket是一种在单个TCP连接上提供全双工通信的协议,可以...
pythonflask开发前端_python轻量级前端Flask
weixin_40007541的博客
12-02 300
做代理池用到的一个Flask,他是一個使用Python编写的轻量级Web应用框架,刚刚入坑,在这存个官方链接前言请在使用 Flask 前阅读。希望本文能回答你一些关于 Flask 的用途和目标以及 Flask 适用情境的问题。“微” 是什么意思?“微”(micro) 并不表示你需要把整个 Web 应用塞进单个 Python 文件(虽然确实可以 ),也不意味着 Flask 在功能上有所欠缺。微框架中...
Web前端Flask框架--flask简介、Jinja2模板引擎
ANingL的博客
03-01 3438
一、flask简介 1、什么是flask 首先,用户使用浏览器访问网站的页面信息时,会有如下的经历:
Flask入门-2.前端html渲染jinJa2
weixin_44086832的博客
02-23 683
Flask入门-2.前端html渲染jinJa2
使用Flask快速搭建前端
TonLP的博客
11-01 9319
使用Flask快速搭建前端Flask介绍Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2。 Flask也被成为『微框架』。因为它使用简单的核心,用 extension 增加其他功能。Flask没有默认使用的数据库、窗体验证工具。 它的官方地址:http://flask.pocoo.org简单的Hello
相信我,只要2分钟,你会爱上flask前端显示图片)
eternal的博客
03-20 8611
带大家体验flask显示图片
flask之模板、在前端解析数据
zxcvbbnn的博客
05-12 506
修改模板语言 构造 05flask模板中的代码 from flask import Flask,render_template # from jinja2.filters import do_float这个是过滤器的源码 #app = Flask(__name__) #如果这个括号里面,写别的话,就会报错他会以别的地方为家目录去找teplates这个模块 #但是入股你非要写别的模块的话,你就得告诉他去哪里找 #app = Flask(__name__,template_folder="写上目录",) #
Flask学习系列7.1一Flask前端页面的使用
Downager的博客
01-20 557
flask前端页面的使用 flask前端页面和静态文件默认放在包含 app = Flask(name)代码的templates和static文件夹里面,修改以下两个参数即可修改 app = Flask(__name__,static_folder='',template_folder='') 使用flask自带的render_template函数渲染html页面,就可以直接显示出html文件内...
python制作前端页面模块--Flask模块
qq_37037438的博客
02-27 4713
什么是FlaskFlask是一个web框架,也就是说web为你提供工具,库和技术来允许你构建一个web应用程序。这个web应用程序可以是一些web页面、博客、wiki、基于web的日历应用或商业网站。 Flask属于微框架这一类别,微框架通常是很小且不依赖外部库的框架。优点是框架很轻量,更新时依赖少,并且专注安全方面的bug,缺点是,你不得不自己做更多的工作,或通过添加插件增加自己的依赖列表。...
使用flask框架编写问答系统前端页面
05-04
首先,你需要确保已经安装好了Flask框架和相关的扩展。 接着,你可以创建一个Flask应用程序,然后写一个路由来处理前端页面的请求。以下是一个简单的示例: ```python from flask import Flask, render_template ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值