HttpCookie.HttpOnly VS Cookie.HttpOnly?(downmoon原创)

最新推荐文章于 2023-06-06 09:59:31 发布
原创 最新推荐文章于 2023-06-06 09:59:31 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#path #domain #application #脚本 #.net #服务器

本文详细探讨了.NET Framework 2.0中引入的HttpOnly属性,对比了System.Web.HttpCookie与System.Net.Cookie类的区别,特别是在客户端脚本访问限制方面的表现。

网站的Cookie管理除了限定Domain增强安全性之外,.net 2.0新增一个Cookie属性HttpOnly。很棒!

在做一个cookie功能时用到了Cookie的一个属性HttpOnly

Code

 

原以为这样后,客户端应该无法访问该Cookie了! 

结果,如图

感觉比较诡异,于是再查MSDN

得知原来有两个cookie类。System.Web.HttpCookie  类 和 System.Net.Cookie 类

注意命名空间不同。

两个类的说明分别如下:

Cookie 类提供一组用于管理 Cookie 的属性和方法。无法继承此类。命名空间: System.Net

 HttpCookie 类 提供创建和操作各 HTTP Cookie 的类型安全方法。 命名空间: System.Web

 两个类都有HttpOnly属性,分别说明如下:

Cookie.HttpOnly 属性注意:此属性在 .NET Framework 2.0 版中是新增的。确定页脚本或其他活动内容是否可访问此 Cookie。

HttpCookie.HttpOnly 属性注意:此属性在 .NET Framework 2.0 版中是新增的。 获取或设置一个值,该值指定 Cookie 是否可通过客户端脚本访问。

问题来了,关键的理解点在于通过什么东东来访问。

不太理解微软机器翻译的“页脚本或其他活动内容 ”究竟指什么玩意?

于是做测试,建立一个Web Application,

在TestCookie.aspx页面,的Page_Load事件中加入

Code

 

该段代码的功能主要是测试能否正确读写Cookie

结果如下:

Code

 

 

 

 再建一ConSole Application,

看看能否获取并修改该页面的Cookie

代码如下:

Code

 

运行结果

Code

 

 请注意, c.Value = ck.Value+"--Update";这句在修改Cookie.value后并没有成功写入该页面的Cookie集合中,换言之,一个未知的客户端应用程序并没有通过读取一个页面的Cookie并修改再写入该页面的Cookie集合。

我的理解是:

1、System.Web.httpCookie主要是服务器端应用。 System.Net.Cookie主要是客户端程序应用,后者可以读取前者的Cookie属性和值,而不能修改服务器定义的Cookie。

2、System.Web.httpCookie.HttpOnly=true后,客户端脚本无法访问该Cookie,但其他程序仍然可以访问。

 System.Net.Cookie.HttpOnly=true后,困其是客户端程序,故有更多的限制,不允许”页面脚本及其他程序“访问 该Cookie, 只有创建它的应用程序可以访问。并且在特定的Domain下。

 

值得注意的是:HttpOnly属性仅对IE 6 SP1以上的版本才有效,在FireFox3.01下也可以!但对于IE5.x的机器,可能就****

 

 

 欢迎大伙指正。

 

 

Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 7426
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 6763
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
web.config中的HttpCookie.HttpOnly属性
weixin_34370347的博客
12-20 1637
Abstract: The program does not set the HttpCookie.HttpOnly property to true. Explanation: The default value for the httpOnlyCookies attribute is false, meaning that the cookie is accessible through...
会话cookie 中缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
.NET中的Cookie设置HttpOnly,可以防止JS获取Cookie的值
龙悦儿的专栏
03-25 2290
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());           myHttpCookie.Name = "MyHttpCookie";         //中文编码,防止js获取的Cookie值是乱码,编码之后再解码就不会出现乱码,当然在实际中使用的时候是不需要编码的
精选资源
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
当一个Cookie被设置为HttpOnly时,JavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页中存在XSS漏洞,恶意脚本也无法窃取到包含敏感信息的Cookie,从而降低了攻击者盗取用户身份...
httpwebreqeust读取httponlycookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie...
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie被设置为HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
builder.Services.AddSession(options => { options.IdleTimeout = TimeSpan.FromSeconds(600); options.Cookie.HttpOnly = true; options.Cookie.IsEssential = true; }); 请解释这段代码
最新发布
05-01
比如在代码中,options.Cookie.HttpOnly = true,这里是指定Session的Cookie启用HttpOnly属性。而IsEssential则是标记该Cookie为必要,这样即使有Cookie同意策略,也会被保留。 另外,IdleTimeout的默认值可能需要...
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 2351
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
.NET应用程序安全操作概述
farway000的博客
11-27 1087
介绍此页面旨在为开发人员提供.NET安全提示。.NET Framework.NET Framework是Microsoft用于企业开发的主要平台。它是ASP.NET,Windows桌面应...
java服务器端获取CookiehttpOnly的值总是false,奇怪了?
一只苟延残喘的卑微蝼蚁
03-18 1970
java服务器端获取CookiehttpOnly的值总是false,奇怪了?
Cookie中的httponly的属性和作用
热门推荐
欢迎
09-10 5万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
Http协议中Cookie详细介绍
weixin_30448685的博客
03-19 701
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。 HTTP请求+co...
cookie.sethttponly
04-09
cookie.sethttponly是一个JavaScript函数,用于设置cookieHttpOnly属性。HttpOnly属性是一种安全措施,它可以防止恶意脚本和程序访问cookie数据。设置HttpOnly属性后,浏览器只会在通过HTTP或HTTPS传输时发送cookie数据,而禁止客户端(如JavaScript)访问。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值