名称叫JSESSIONID的Cookie,HttpOnly明明是true,服务器端获取的HttpOnly的值始终是false

最新推荐文章于 2025-07-07 14:00:49 发布
最新推荐文章于 2025-07-07 14:00:49 发布
阅读量4.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 名称叫JSESSIONID的Cookie HttpOnly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/czh500/article/details/80367612
本文描述了一个关于HttpOnly属性在浏览器与服务器端显示不一致的问题。在谷歌浏览器中设置为true的HttpOnly属性,在服务器端读取时总是显示为false。文章通过截图展示了这一现象,并寻求解决之道。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天遇到一个很奇葩的问题!浏览器中明明有HttpOnly等于true的Cookie,可是从服务器端获取的所有的Cookie的HttpOnly的值都是false

我的环境是谷歌浏览器 + tomcat7 + eclispe

我是访问一个servlet,然后在servlet中转发到某个jsp页面,我在servlet中,把客户端的所有的Cookie打印出来了!

直接看图:

从图中可以看出浏览器中名称叫JSESSIONID的Cookie的HttpOnly的值是true!


可是为什么服务器端获取名称叫JSESSIONID的Cookie的HttpOnly的值却始终是false!应该是true才对啊!实在是搞不懂原因!



程宇寒
关注
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
JSESSIONIDcookie对象
一夜奈何梁山
05-28 500
response_addCookie.jsp <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> &lt...
CookieHttpOnly属性:作用、配置与前后端分工
最新发布
weixin_43172311的博客
07-07 1243
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
HTTP-only Cookie 脚本获取JSESSIONID的方法
热门推荐
氼兲戦S無撩
08-21 1万+
HTTP-only Cookie 脚本获取JSESSIONID的方法 实现隐藏sessionid
java开发中替换cookie越权,在JSESSIONID cookie中设置httponly(Java EE 5)
weixin_35225144的博客
02-26 1456
I'm trying to set the httponly flag on the JSESSIONID cookie. I'm working in Java EE 5, however, and can't use setHttpOnly(). First I tried to create my own JSESSIONID cookie from within the servlet...
Session CookieHttpOnly和secure属性
10-29
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。...
java开发中替换cookie越权,在JSESSIONID cookie中设置httponly
05-18
替换 cookie 越权是一种常见的安全漏洞,攻击者可以通过修改 cookie来伪造身份或者获取未授权的访问权限。为了防止这种情况的发生,我们可以在 JSESSIONID cookie 中设置 httponly 属性,这样攻击者就无法通过 ...
webBrowser1.Document.Cookie取不到HttpOnlyCookie,取Cookie不完整
smeller的专栏
11-29 1万+
在做数据采集时,有些网站需要输入验证码,但各网站验证码都不同,不可能有完美的识别验证码的代码,所以我也没去研究,我所采取的方案是:在winform里通过WebBrowser调用网页先手动登录系统,然后再通过webBrowser1.Document.Cookie获取Cookie,再将其用到HttpWebRequest里用来访问自己需要的页。 一直用的都没有问题,但最近在对一个网站操作时总是不能获
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
完整获取webBrowser1.Document.Cookie取不到HttpOnlyCookie
06-08
完整获取webBrowser1的Cookie HttpOnlyCookie
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
Cookie(Secure和HttpOnly属性) JSESSIONID 刷新
Mr.Chen的博客
01-03 4776
目录 一:Cookie(Secure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 刷新 一:Cookie(Secure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=truecookie不能被js获取到,无法用document.cookie打出...
Cookie中的HttpOnly
weixin_30565199的博客
08-07 195
1.什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索 2.javaEE的API是否支持? 目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现 3.HttpOnly的设置样例 jav...
关于获取httponly属性保护的cookie的思考
weixin_30342209的博客
03-26 1万+
以前在面试过程中有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。 httponly的作用 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击中无法通过document对象直接获取cookie。 如何绕过 首先需要明确的是,因为无法通过js脚本获得cookie信息,经...
httpOnly-cookies获取不到JSESSIONID一直在变
qq_24241631的博客
03-07 2965
1.查看tomcatconf/context.xml文件并修改: 这个不太好操作,要是用ecplise启动tomcat,这文件会被还原,又要重新改麻烦,最好单独启tomcat &lt;ContextuseHttpOnly="false"&gt; 2.修改项目web.xml &lt;session-config&gt; &lt;session-timeout&gt;20&lt;/se...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值