django-会话 cookie 中缺少HttpOnly 属性-安全加强

最新推荐文章于 2025-07-07 14:00:49 发布
转载 最新推荐文章于 2025-07-07 14:00:49 发布 · 906 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/aguncn/p/10640588.html
文章标签:

#python #javascript #ViewUI

本文介绍如何通过设置CSRF_COOKIE_HTTPONLY为True来增强Django应用程序的安全性,防止客户端JavaScript访问CSRF cookie,并讨论了这一措施的实际效益及应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如果django程序扫描到会话 cookie 中缺少 HttpOnly 属性问题,需要如何进行安全加强?

https://docs.djangoproject.com/en/2.2/ref/settings/#std:setting-CSRF_COOKIE_HTTPONLY

参考官方文档.

CSRF_COOKIE_HTTPONLY

Default: False

Whether to use HttpOnly flag on the CSRF cookie. If this is set to True, client-side JavaScript will not to be able to access the CSRF cookie.

Designating the CSRF cookie as HttpOnly doesn’t offer any practical protection because CSRF is only to protect against cross-domain attacks. If an attacker can read the cookie via JavaScript, they’re already on the same domain as far as the browser knows, so they can do anything they like anyway. (XSS is a much bigger hole than CSRF.)

Although the setting offers little practical benefit, it’s sometimes required by security auditors.

If you enable this and need to send the value of the CSRF token with an AJAX request, your JavaScript must pull the value from a hidden CSRF token form input instead of from the cookie.

See SESSION_COOKIE_HTTPONLY for details on HttpOnly.

 

在settings.py里,设置 CSRF_COOKIE_HTTPONLY = True即可。

 

转载于:https://www.cnblogs.com/aguncn/p/10640588.html

Django检测到会话cookie缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1660
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
会话cookie缺少HttpOnly属性
itmyhome的专栏
09-14 1万+
项目经第三方机构进行安全扫描漏洞出现“会话cookie缺少HttpOnly属性”问题 安全风险 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 Web 应用程序设置了缺少 HttpOnly 属性会话 cookie 技术描述 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含“
django 设置cookiehttponly
编程语言小筑
10-24 1000
不知道你是不是用set_cookie这个函数设置了cookie呢? HttpResponse.set_cookie(key, value='', max_age=None, expires=None, path='/', domain=None, secure=None, httponly=True) 这个函数里面,max_age就是cookie的超时时间,是以秒为单位的。 也可以用expires...
CookieHttpOnly属性:作用、配置与前后端分工
最新发布
weixin_43172311的博客
07-07 1336
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
IIS - 会话cookie缺少HttpOnly属性
热门推荐
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选中图中节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 7377
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
Django-会话跟踪cookie和session
Last_G的博客
08-18 352
Django-会话跟踪cookie和session HTTP协议 是短连接、且状态的,所以在客户端向服务端发起请求后,服务端在响应头 加入cokie响应给浏览器,以此记录客户端状态。 Cookie是来自服务端,保存在浏览器的键值对,主要应用于用户登录; 1.cookie 1.1Cookie的产生 HTTP协议是无状态的。 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求...
Django-Redis-Sessions:Redis数据库会话后端解决方案
- `SESSION_COOKIE_AGE`:会话cookie的持续时间,单位为秒。 - `SESSION_COOKIE_DOMAIN`:设置cookie的作用域。 - `SESSION_COOKIE_SECURE`:决定cookie是否只通过安全通道发送。 - `SESSION_COOKIE_HTTPONLY`:防止...
检测到会话cookie缺少Secure属性
05-29
好的,用户的问题是“如何在会话cookie中设置Secure属性以提高安全性”。我需要根据提供的引用资料来回答这个问题。首先,我要理解用户的问题是什么。用户可能是在开发一个Web应用,使用了一些会话cookie,但安全...
5 - django-csrf-session&cookie
大欣的IT之路
03-28 671
文章目录1 CSRF跨站请求伪造1.1 CSRF攻击介绍及防御1.2 防御CSRF攻击1.2.1 验证 HTTP Referer 字段1.2.2 在请求地址中添加 token 并验证1.2.3 在 HTTP 头中自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
安全修复之Web——会话Cookie缺少HttpOnly属性
CN華少的博客
05-02 1808
安全修复之Web——会话Cookie缺少HttpOnly属性 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang g...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
会话 cookie缺少HttpOnly 属性 的问题
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其中有一个漏洞问为“会话 cookie缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含 “HttpOnly属性会话 cookie。由于此会话 cookie 不包含“HttpOnly属性,因此 注入站点的恶意脚本可能访问此 cookie
检测到会话cookie缺少HttpOnly属性
Gblfy_Blog
12-25 6167
解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 解决方案02(建议使用):在会话cookie中添加HttpOnly属...
检验-会话cookie缺少HttpOnly属性
RayChiu757374816的博客
12-11 3393
第一次遇到这样的问题,就想来记录下这个。 详细问题描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。    2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2400
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
会话cookie缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值