浅谈HTTP Cookie 的 Secure 和 HTTPONLY属性

最新推荐文章于 2024-03-29 10:01:58 发布
最新推荐文章于 2024-03-29 10:01:58 发布
阅读量1.3w 收藏 2
点赞数
分类专栏: PHP HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yylad/article/details/8053320
版权
PHP 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
HTTP
1 篇文章 0 订阅
订阅专栏

最近工作中遇到了关于cookie 的secure及httponly属性的问题, 所以关注并学习了一段时间,这里做一下简要记录。关于secure和httponly标志的用途可以参考wikipedia.

Secure cookie
A secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring that the cookie is always encrypted when transmitting from client to server. This makes the cookie less likely to be exposed to cookie theft via eavesdropping.

HttpOnly cookie
The HttpOnly cookie is supported by most modern browsers.On a supported browser, an HttpOnly session cookie will be used only when transmitting HTTP (or HTTPS) requests, thus restricting access from other, non-HTTP APIs (such as JavaScript). This restriction mitigates but does not eliminate the threat of session cookie theft via cross-site scripting (XSS). This feature applies only to session-management cookies, and not other browser cookies.


起因: 系统PHP升级(5.1.7->5.4.5)并要求在下个升级后更新 /etc/php.ini 下的 两个变量,设定值为1.

Session.cookie_secure = 1

Session.cookie_httponly = 1

由此引发了这次调查,调查的内容涉及到了php自身cookie函数、开源框架CodeIgniter、Javascript以及JQuery对这两个属性的支持情况。

  1. 创建Cookie
  • PHP: 5.2之前只支持secure,5.2之后添加了对httponly的支持
bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] );
  • CodeIgniter:在当前最新的2.1.2中只添加了对secure的支持,可是在github的CI开源项目上我发现了在下一个版本里httponly将会被添加进去。
function set_cookie($name = '', $value = '',$expire = '', $domain = '', $path = '/', $prefix = '', $secure = FALSE)
  • Javascript: 从这两个属性的作用就可以推测出,js对secure的支持是没问题的,可是httponly本就是为限制js而产生的,当然httponly的cookie也不会被js创建
document.cookie = "username=" +escape("leon") + "; expires=15/02/2013 00:00:00; path=/;domain=www.example.com; secure";
  • Jquery: 作为js的框架,情况和js类似。
$.cookie('the_cookie', 'the_value', { expires: 7,path: '/', domain: 'x.com', secure: true });

综上可知,httponly参数只可以在服务器端设置,即通过PHP的setcookie()方法设置。所以如需添加这个属性,项目里所有对cookie的set操作都应拿到服务端进行。

  • 获取Cookie

httponly参数是用来限制非HTTP协议程序接口对客户端COOKIE进行访问的,所以客户端脚本,如JS是无法取得这种COOKIE的,同时,JQuery中的“$.cookie('xxx')”方法也无法正常工作,所以想要在客户端取到httponly的COOKIE的唯一方法就是使用AJAX,将取COOKIE的操作放到服务端,接收客户端发送的ajax请求后将取值结果通过HTTP返回客户端。







果核儿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
CookiesecurehttpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8115
CookiesecurehttpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Cookie属性secureHttpOnly
ThinkStu的博客
11-17 7858
Cookie 中有两个非常重要的属性,分别是secureHttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
浏览器中的HttpOnly是什么
最新发布
常备不懈
03-29 569
HttpOnly标志是一个安全特性,由服务器通过设置在HTTP响应头中的`Set-Cookie`字段来启用。启用后,它告诉浏览器这个特定的Cookie应该对客户端的JavaScript代码不可访问,以防止例如跨站脚本(XSS)的攻击者通过脚本窃取Cookie信息。虽然HttpOnly不是全面防护措施,但它显著增加了攻击者盗取用户会话的难度。
Http Cookie里面HttpOnlySecure标记
daruanhu7748的博客
11-02 541
Secure The secure option is a flag that can be set by the application server when sending a new cookie to the user within a HTTP Response. The purpose of the secure flag is to prevent cookie fro...
CookieSecure属性
weixin_30549175的博客
12-15 1876
基于安全的考虑,需要给cookie加上SecureHttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
Session CookieHttpOnlysecure属性
严老板的技术梦想博客
11-05 1万+
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Co...
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
session配置securehttpOnly
03-16
本文档描述了关于cookiehttp-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
Http协议中Cookie详细介绍
weixin_30448685的博客
03-19 579
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久CookieHTTP请求+co...
Cookie对象HttpOnlysecure属性
whaxrl的专栏
09-28 2125
 Secure 1、安全,指定cookie的值通过网络如何在用户和WEB服务器之间传递。 2、这个属性的值或者是“secure”,或者为空。缺省情况下,该属性为空,也就是使用不安全的HTTP连接传递数据。如果一个 cookie 标记为secure,那么,它与WEB服务器之间就通过HTTPS或者其它安全协议传递数据。不过,设置了secure属性不代表其他人不能看到你机器本地保存
php session secure,PHP session.cookie_secure 的作用
weixin_42491751的博客
03-28 530
session.cookie_secure = 1如果开启则表明你的cookie只有通过HTTPS协议传输时才起作用。参考问题:i'm setting session.cookie_secure = "on" via .htaccess and it works -confirmed by phpinfo(). this i tought enforces a secure transmissio...
Session新增securehttpOnly策略
s13166803785的博客
06-11 1359
1、添加HttpOnlysecure属性(用过滤器实现) 根据之前的说明,GlassFish2不支持Session CookieHttpOnly属性,以及secure属性也需要自己进行设置,所以最后的处理方法是:在工程各添加一个Filter,对请求的入口页面(或者是请求后跳转到的第一个客户可见的页面,一般是登陆页面),重新设置客户端的session属性。 (response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";Path=
应用安全系列之二十:HTTP协议安全
jimmyleeee的专栏
03-18 979
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 HTTP协议也提供了一些头用于提高安全,本章节主要是介绍一些常用的协议头和他们的作用,以及如何正确使用。 CORS HTTPonly Secure SameSite HSTS XSS-Protect X-Frame-Option Content-Security-Policy (CSP) 如果有不妥之处,希望可以留言指出。谢谢! 参考: https://cheatsheet...
解决https请求下发送http请求问题
热门推荐
wuyajun1124的专栏
11-05 2万+
https页面下的带有相对路径的请求都会与页面的协议保持一致。如果想在https页面下发送http的请求,如果只把链接写死成为http的绝对路径是不够的,这样会导致http的请求与总页面https的请求的session不一致。 为什么呢?原因是https的请求中服务器发回的cookie是标记为"secure"的,而http的请求时非"secure","由于在服务器端secure"的cooki
前端cookie设置httpOnlysecure拿不到,换成localstorage+加密方式
寬真
10-14 2811
token用接口获取,然后设置在cookie中,以后每个接口调用都要获取这个cookie并且设置在接口的请求头部中,由于安全检查,要添加httpOnly,和secure,但导致js获取不到cookie,从而导致调用失败,所以必须换种方式换成其他方式,我换成的localstorage+加密的方式。httpOnly:防止xss攻击,js等非http,https协议方式拿不到cookie,securehttps中才能传输。
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 1859
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
WEB安全漏洞之Cookie中缺少相关安全属性HttpOnlySecure
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie中缺少HttpOnly属性;2.Cookie中缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
http请求报文中的securehttponly
06-07
HTTP请求报文中,SecureHttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被中途窃取或篡改。如果一个CookieSecure属性没有设置,那么这个Cookie可以在HTTPHTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTPHTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置SecureHttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发中,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet中,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值