HttpOnly cookie与跨站点追踪

最新推荐文章于 2025-04-12 17:54:51 发布
最新推荐文章于 2025-04-12 17:54:51 发布
阅读量123 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: javascript php 嵌入式 ViewUI
原文链接:http://www.cnblogs.com/tudouya2013/p/3713711.html
本文介绍了HttpOnly Cookie如何帮助防止XSS攻击中的会话劫持。通过限制客户端JavaScript访问带有HttpOnly标志的Cookie,可以增强网站安全性。文章还提供了在PHP中设置HttpOnly Cookie的两种方法。

攻击XSS漏洞的一种有效载荷,就是使用嵌入式JavaScript访问document.cookie属性,截获受害者的会话令牌。HttpOnly cookie是某些浏览器所支持的一种防御机制,许多应用程序使用它防止这种攻击有效载荷执行。

当应用程序设定一个cookie时,它可能在Set-Cookie消息头中标记为HttpOnly:

Set-Cookie: SessId=12d1a1f856ef224ab424c2454208ff; HttpOnly;

当一个cookie以这种方式标记时,支持它的浏览器将阻止客户端JavaScript直接访问该 cookie。虽然浏览器仍然会在请求的HTTP消息头中提交这个cookie,但它不会出现在 document.cookie返回的字符串中。因此,使用HttpOnly cookie有助于阻止攻击者使用XSS漏洞实施会话劫持攻击。

注解 HttpOnly cookie不会影响其他可使用XSS漏洞传送的攻击有效载荷。例如,它不会影响前面在MySpace蠕虫中使用的诱使用户执行任意操作的攻击。并不是所 有浏览器都支持HttpOnly cookie,这表示不能总是依赖它们阻止攻击。而且,稍后我们会讲到,即使使用HttpOnly cookie,攻击者有时仍然能实施会话劫持攻击。

====================================================

在PHP中,cookie的HttpOnly有两种设置方式。

方法一:

header("Set-Cookie:tmp=100;HttpOnly");

方法二:

setcookie("tmp", 100, NULL, NULL, NULL, NULL, TRUE);

转载于:https://www.cnblogs.com/tudouya2013/p/3713711.html

NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5697
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
前端必备技能:全面解析 Cookie 在 Web 开发中的应用
ztK63LrD的博客
11-23 2578
在这篇文章中我们将深入探讨前端cookie、session、token和jwt等web开发中常见的身份认证和状态管理技术,它们在用户身份验证、数据存储授权和安全性方面发挥着重要作用,接下来开始逐一解释它们的含义、作用和各自的优势及其使用。
HttpOnly Cookie 怎么讲
larance的挨踢生活
11-30 826
HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookieHttpOnly背后的相关议题是:当网站存在站脚本攻击(XSS)漏洞时,黑客通过执行脚本获得cookie时被阻止,从而在根本上杜绝这种类型的攻击。 当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。当然也有前提:使用新版的浏览器。HttpOnly Cookie 最初由 Micr
cookiehttpOnly设置使用问题
bingmoujs的博客
12-21 6355
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
cookie的安全性设置
小程故事多
05-22 266
为了解决XSS(站脚本攻击)的问题,IE6开始支持cookieHttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari) 所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。 在PHP中,cookieHttpOnly有两种设置方式。     方法一: ...
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSSCORS漏洞利用
RexHa的博客
10-27 8361
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了域的现象。
【防XSS攻击秘籍】:一步到位掌握Cookie安全的HttpOnly和Secure技巧
![【防XSS攻击秘籍】:一步到位掌握Cookie安全的HttpOnly和Secure技巧...本文首先介绍了XSS攻击的原理及危害,然后深入探讨了Cookie安全机制,包括HttpOnly和Secure属性对防范XSS攻击的作用。在实践篇中,提出了配置Web
深入理解Cookie:原理应用
需要注意的是,站脚本攻击(XSS)和站请求伪造(CSRF)都可能利用Cookie进行攻击,因此在处理Cookie时,应确保安全措施到位,比如使用HTTPS传输、设置HttpOnly标志防止JavaScript访问,以及使用CSRF令牌防止恶意请求...
取网页COOKIE(001).rar
03-12
6. **安全隐私**:Cookie可以被用来追踪用户行为,因此可能涉及到隐私问题。开发者应遵循最佳实践,比如仅在HTTPS环境下使用Cookie以防止中间人攻击,使用Secure标志,以及HttpOnly标志防止JavaScript脚本访问...
HttpOnly Cookie
y523648的博客
10-24 351
HttpOnly Cookie 是一种具有特殊属性的 Cookie,旨在提高 Web 应用程序的安全性。我们可以使用Httponly cookie,在服务器端生成和保存token,防止token被客户端访问,比如。,可以防止客户端 JavaScript 访问这些 Cookie,从而减小 XSS(站脚本)攻击的风险。客户端将无法使用javascript访问cookie
HttpOnly是什么?如何绕过HttpOnly属性获取Cookie信息?
最新发布
2501_91606508的博客
04-12 1950
HttpOnly 是一种用于提升 Web 应用安全性的 Cookie 属性,目的是防止通过 JavaScript(如 XSS 攻击)直接访问用户的 Cookie。启用后,document.cookie 无法读取该 Cookie。 虽然 HttpOnly 能防止直接获取,但在某些特殊环境或配置错误下,攻击者仍可能间接利用或“侧向获取” Cookie
Java 设置 httponly cookie
allway2的博客
08-02 5801
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
HTTP Cookie 详解二
我的未来从这里开始
03-26 3万+
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。 HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出
会话 cookie 中缺少HttpOnly 属性 的问题
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其中有一个漏洞问为“会话 cookie 中缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含 “HttpOnly”属性的会话 cookie。由于此会话 cookie 不包含“HttpOnly”属性,因此 注入站点的恶意脚本可能访问此 cookie
Cookie中的HttpOnly
一叶知秋
12-30 6406
如果在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取或修改cookie信息。 cookie.setHttpOnly(httpOnly);  
WEB站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 8245
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值