Cookie中的secure,httponly的属性和作用

最新推荐文章于 2023-07-16 19:04:29 发布
最新推荐文章于 2023-07-16 19:04:29 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: Javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsc_976529378/article/details/103914442
版权

(一)HttpOnly

1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例


response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如:
//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")


//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");


//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。

Cookie cookies[]=request.getCookies(); 
————————————————
版权声明:本文为CSDN博主「YG青松」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_38553333/article/details/80055521


(二)Secure Cookie

secure cookie can only be transmitted over an encrypted connection (i.e. HTTPS). They cannot be transmitted over unencrypted connections (i.e. HTTP). This makes the cookie less likely to be exposed to cookie theft via eavesdropping. A cookie is made secure by adding the Secure flag to the cookie.

也就是说,如果设置了cookie中包含secure属性,那么所有的请求都应该是HTTPS的,不能有HTTP的请求。

 

 

 

cookie知识学习:https://www.runoob.com/js/js-cookies.html

wikipedia:https://en.wikipedia.org/wiki/HTTP_cookie

写文章的思考者
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
linux服务器 unencrypted connection
qq_40723205的博客
09-12 1万+
进入其他端口号 将端口删除 再重建 因为安装了anaconda 所以要打开 sudo gedit ~/.bashrc 将它注释掉 再source~/.bashrc vncserver kill :91 vncserver :91 重新创建完成之后 再打开sudo gedit ~/.bashrc将注释掉的再打开 再source~/.bashrc ...
failed to set system property
visionliao的专栏
12-07 1万+
Android SystemProperties.set 概述   在对Android操作系统进行开发的过程,经常需要使用到Android的隐藏API SystemProperties.set(String key, String value) 这个接口,写入一些属性值存放到系统共享内存,配合SystemProperties.get(String key) 这个接口可以很方便的实现某些功能。由...
浏览器Cookie的全面介绍
Coding home - 漂流瓶jz
07-16 1611
在Web前端开发时,我们经常会遇到一些浏览器存储相关的工具,例如CookieCookie的英文本意是曲奇,但是在Web,它被用作浏览器存储的数据。Cookie都是name=value的结构,name和value都为字符串。
同源策略及跨域
这魏先森-forguo
03-12 5690
再谈同源策略及跨域
解决浏览器记住账户密码 运用readonly属性
guohao326的博客
07-26 825
html> lang="en"> charset="UTF-8"> Title src="jquery-1.11.0.min.js"> 请输入密码:class="password" type="password" readonly placeholder="请输入密码" /> <!-- *解决一些客户特殊要求,浏览器不再记录登录密码 * 不用删除cook,运
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
Javaweb Cookie 和 Session 详解
大河之犬的博客
10-29 781
可以通过web.xml来设置Session的默认失效时间:(例如,设置默认Session失效时间为15分钟)使用session会话跟踪技术可以解决HTTP无状态(服务器无法判断两次请求是不是同一个客户端)的问题。设置Cookie并输入Cookie信息:(由于是第一次访问,所以不会显示键为UID的Cookie)设置Cookie的有效期:(不设置有效期,默认关闭浏览器Cookie消失)服务端获取Cookie信息:(获取Cookie的键和值)
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
parse-cookie-phantomjs:解析cookie以在PhantomJS使用
05-26
解析cookie以在PhantomJS使用 接受一个cookie字符串,并返回一个准备好传递给 。 安装 $ npm install --save parse-cookie-phantomjs 用法 var parseCookiePhantomjs = require ( 'parse-cookie-phantomjs' ) ; ...
Go语言Cookie用法分析
01-21
web 开发免不了要和 cookie 打交道。Go 的 http 库也提供了 cookie 的相关操作。 代码如下:type Cookie struct {  Name string  Value string  Path string  Domain string  Expires time.Time  ...
智慧学院智能化项目规划设计方案PPT(45页).pptx
05-03
智慧学院智能化项目规划设计方案PPT(45页).pptx
AO工艺设计计算(全).xls
05-03
污水处理计算书
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
05-03
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
最新发布
05-03
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
基于matlab实现可实现脉冲编码调制,模拟信号的数字传输:抽样、量化、编码.rar
05-03
基于matlab实现可实现脉冲编码调制,模拟信号的数字传输:抽样、量化、编码.rar
ASP+access网上购物系统(设计说明书+源代码).zip
05-03
ASP+access网上购物系统(设计说明书+源代码).zip
http请求报文secure和httponly
06-07
在HTTP请求报文Secure和HttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被途窃取或篡改。如果一个CookieSecure属性没有设置,那么这个Cookie可以在HTTP和HTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTP或HTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置Secure和HttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值