1.什么是HttpOnly?
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
具体一点的介绍请google进行搜索
2.javaEE的API是否支持?
目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现
3.HttpOnly的设置样例
javaEE
- response.setHeader("Set-Cookie", "cookiename=value;
- Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取
- Cookie cookies[]=request.getCookies();
Cookie cookies[]=request.getCookies();
C#
- HttpCookie myCookie = new HttpCookie("myCookie");
-
myCookie.HttpOnly = true;
- Response.AppendCookie(myCookie);
HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
VB.NET
- Dim myCookie As HttpCookie = new HttpCookie("myCookie")
- myCookie.HttpOnly = True
- Response.AppendCookie(myCookie)
Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)
但是在 .NET 1.1 ,中您需要手动添加
Response.Cookies[cookie].Path += ";HTTPOnly";
PHP4
- header("Set-Cookie: hidden=value; httpOnly");
header("Set-Cookie: hidden=value; httpOnly");
PHP5
- setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性
参考
- <STRONG><STRONG>http:
- </STRONG>
分享到:
相关推荐
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
完整获取webBrowser1的Cookie HttpOnly的Cookie
Express 中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1. This feature is a new attribute for cookies which prevents them from...
下面小编就为大家带来一篇httpwebreqeust读取httponly的cookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
第九节 cookie的httponly设置-01
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
.net 获取浏览器Cookie(包括HttpOnly)实例分享.docx
来源:
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
HttpOnly 2 CSP 3 其他辅助对策 目录 HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。也就是说HttpOnly是为了对抗XSS后的...
在mvc中验证如何存取cookie,并通过cookie的httponly属性防止cookie被jquery脚本窃取。
此存储库包含示例体系结构,这些体系结构用于在使用HttpOnly cookie时在Next.js中检测用户的身份验证状态客户端。 开发它是为了支持两个博客文章: 。 本示例使用getInitialProps并提供两种版本: 。