Http中Cookie的HttpOnly和secure属性

最新推荐文章于 2025-07-07 14:00:49 发布

原创最新推荐文章于 2025-07-07 14:00:49 发布 · 1w 阅读

8 ·

CC 4.0 BY-SA版权

java 基础同时被 2 个专栏收录

16 篇文章

订阅专栏

java 基础 Guice

2 篇文章

订阅专栏

本文介绍了Cookie中的两个关键安全属性：secure和HttpOnly。secure属性确保Cookie仅通过HTTPS连接传输，防止中间人攻击；HttpOnly属性阻止JavaScript访问Cookie，降低XSS攻击风险。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Cookie语法：

Cookie通常是作为HTTP 应答头发送给客户端的，下面的例子展示了相应的语法（注意，HttpOnly属性对大小写不敏感）：

Html代码  

Set-Cookie: =[; =]  

[; expires=][; domain=]  

[; path=][; secure][; HttpOnly]

属性含义

1 secure属性

当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。

2 HttpOnly属性

如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

作用：

防止XSS攻击。具体参考：

http://netsecurity.51cto.com/art/200902/111143.htm

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Smox

关注关注

0
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案

sunsineq的专栏

06-25

3765

基于安全的考虑，需要给cookie加上Secure和HttpOnly属性，HttpOnly比较好理解，设置HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容。cookie中的Secure指的是安全性。在WEB应用中，对于敏感业务，如：登录或者付款，需要使用HTTPS来保证内容的传输安全，而在用户成功获得授权之后，获得的客户端身份cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面拿到，从而造成重要的身份泄露。

HTTPS请求头缺少HttpOnly和Secure属性解决方案

李木子的博客

07-16

685

等保测评

参与评论您还未登录，请先登录后发表或查看评论

cookie设置httpOnly和secure属性实现及问题

01-03

该文档整合了cookie的httponly和secure的简介，已经设置该属性时会遇到的问题，以及设置属性的方式

Session Cookie的HttpOnly和secure属性

最新发布

weixin_43172311的博客

07-07

1323

在Web开发中，HttpOnly是Cookie的一项关键安全属性，用于**防御客户端脚本攻击**（如XSS）。本文将深入解析其核心作用、技术实现方式，以及前后端开发者在Cookie配置中的分工协作。

httpCookie与Cookie安全

weixin_34378969的博客

09-22

510

Web 应用程序使用的 Cookie 个人认为这里设置的cookie与访问cookie的安全性关联大一点，配置节如下 <httpCookies domain="String" httpOnlyCookies="true|false" requireSSL="true|false" /> httpOnlyCookies：默认是false，作用是是否禁用浏览...

Cookie属性之secure、httponly

weixin_44843710的博客

12-02

3590

登录时，HSIAR会生成token等会话信息，设置到响应的Set-Cookie头部，返回给浏览器，浏览器会在application存储Cookie信息，当有同域的请求发起时，浏览器会将此域的Cookie（如果有的话）携带并发往服务端进行认证；经常会有安全测试不了解Cookie的属性，而认为某个属性是漏洞，最常见的就是secure，作者就见过几次漏洞报告，认为http协议下，Cookie的secure为false是一个安全漏洞，这其实是测试没有理解secure的真正作用。

利用httponly提升应用程序安全性[zt]

abc123098098的博客

11-21

124

==Ph4nt0m Security Team== Issue 0x01, Phile #0x06 of 0x06 |=---------------------------------------------------------------------------=| |=-------------=[ 利用httponly提升应用程序安全性 ]=--------------...

《Session Cookie中HttpOnly与Secure属性解析》

07-01

就这两个属性而言，Secure属性主要是防止Cookie在传输过程中被监听导致信息泄露，而HttpOnly属性旨在阻止程序获取Cookie后实施攻击。不过，需注意的是，GlassFish2.x支持servlet2.5，但servlet2.5本身不支持Session ...

会话Cookie未设置Secure属性漏洞

my的博客

01-15

6994

服务器端保存在浏览器端的数据片段，以key/value的形式进行保存。每次请求的时候，请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。：当设置为true时，表示创建的Cookie会被以安全的形式向服务器传输，也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证，如果是HTTP连接则不会传递该信息，所以不会被窃取到Cookie的具体内容。：如果在Cookie中设置了HttpOnly属性，那么通过程序(JS脚本、Applet等)将无法读取到。

Cookie中的Secure和HttpOnly

love_every_day的博客

08-04

301

Cookie中的Secure和HttpOnly secure属性当secure设置为true时，可以防止信息在传递的过程中被监听捕获后导致信息泄露，创建的 Cookie 会以安全的形式向服务器传输，只能在 https 连接中被浏览器传递到服务器端进行会话验证，如果是 http 连接则不会传递传递该 Cookie，所以不会泄漏信息。 HttpOnly属性如果在Cookie中设置了"HttpOnly"属性，那么通过Js等将无法读取到Cookie信息，这样能有效的防止XSS攻击。 ...

Cookie属性secure与HttpOnly

ThinkStu的博客

11-17

8250

在 Cookie 中有两个非常重要的属性，分别是secure与HttpOnly，使用开发者工具（F12）即可快捷的查看到它们。

Cookie的secure和httpOnly属性的含义以及 Cookie设置HttpOnly，Secure，Expire属性

小兵qwer的专栏

08-16

9605

Cookie的secure和httpOnly属性的含义版权声明：本文为博主原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接和本声明。本文链接：https://blog.youkuaiyun.com/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要，在浏览器端，如果一个网站可以访问其他网站的cookie，肯定...

Cookie的secure和httpOnly属性的含义

wang252949的博客

03-14

9738

Cookie访问控制cookie如此重要，在浏览器端，如果一个网站可以访问其他网站的cookie，肯定不行的，所以浏览器是不允许跨域访问cookie的，提高了Cookie的安全性。在前面的文章 session和cookie介绍中，已经介绍了cookie的作用域，主要是说一级域名相同情况下如何共享使用cookie。如果想实现跨域访问，可以通过JSONP、CORS的方法实现。另外，HTTP设置coo...

浅谈HTTP Cookie 的 Secure 和 HTTPONLY属性

一些好玩的东西

10-10

1万+

最近工作中遇到了关于cookie 的secure及httponly属性的问题，所以关注并学习了一段时间，这里做一下简要记录。关于secure和httponly标志的用途可以参考wikipedia. Secure cookieA secure cookie has the secure attribute enabled and is only used via HTTPS, ensuring

Http协议中Cookie详细介绍

weixin_30448685的博客

03-19

662

Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。所以，按存在时间，可分为非持久Cookie和持久Cookie。 HTTP请求+co...

Cookie中的secure,httponly的属性和作用

最快的脚步不是跨越，而是继续；最慢的步伐不是缓慢，而是徘徊！

01-09

1894

(一)HttpOnly 1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击，窃取cookie内容，这样就增加了cookie的安全性，即便是这样，也不要将重要信息存入cookie。XSS全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方...

开启httponly之后登陆失败_SpringSecurity系列之自定义登录验证成功与失败的结果处理...

weixin_39758712的博客

12-06

704

作者：字母哥的博客来源：博客园一、需要自定义登录结果的场景在我之前的文章中，做过登录验证流程的源码解析。其中比较重要的就是当我们登录成功的时候，是由AuthenticationSuccessHandler进行登录结果处理，默认跳转到defaultSuccessUrl配置的路径对应的资源页面(一般是首页index.html)。当我们登录失败的时候，是由AuthenticationfailureHan...

理解Session Cookie的HttpOnly与secure属性

总结，`secure`和`HttpOnly`属性在Session Cookie的安全管理中起到关键作用，它们分别保护了数据在传输过程中的安全性和防止了客户端脚本的非法访问。然而，这些属性并不能完全防止本地攻击或某些特定的浏览器扩展...