Cookie中的HttpOnly详解

最新推荐文章于 2025-07-07 14:00:49 发布
转载 最新推荐文章于 2025-07-07 14:00:49 发布 · 116 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/grefr/p/6088111.html
文章标签:

#php #c#

本文介绍了HttpOnly Cookie的概念及其在不同编程语言中的实现方法,包括JavaEE、C#、VB.NET和PHP等,并提供了具体的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt377

 

1.什么是HttpOnly?

 

如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索

2.javaEE的API是否支持?

 

目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现

 

3.HttpOnly的设置样例

 

javaEE

 

1
2
response.setHeader( "Set-Cookie" , "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

 

 

 

 

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取

 

1
Cookie cookies[]=request.getCookies();

C#

 

1
2
3
HttpCookie myCookie = new HttpCookie( "myCookie" );  
myCookie.HttpOnly = true ;  
Response.AppendCookie(myCookie);

 

VB.NET

 

1
2
3
Dim myCookie As HttpCookie = new HttpCookie( "myCookie" )  
myCookie.HttpOnly = True  
Response.AppendCookie(myCookie)

 

   但是在 .NET 1.1 ,中您需要手动添加

 

1
Response.Cookies[cookie].Path += ";HTTPOnly" ;

 

PHP4

 

1
header( "Set-Cookie: hidden=value; httpOnly" );

 

 

PHP5

 

1
setcookie( "abc" , "test" , NULL, NULL, NULL, NULL, TRUE);

 

    最后一个参数为HttpOnly属性

转载于:https://www.cnblogs.com/grefr/p/6088111.html

关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
第九节 cookiehttponly设置-01
09-15
CookieHttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
CookieHttpOnly属性:作用、配置与前后端分工
最新发布
weixin_43172311的博客
07-07 1369
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
Cookie中的httponly的属性和作用
热门推荐
欢迎
09-10 5万+
原文转载自:https://blog.youkuaiyun.com/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 6266
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
http cookie
weixin_33705053的博客
11-10 156
An HTTP cookie (also called web cookie, Internet cookie, browser cookie, or simply cookie) is a small piece of data sent from a website and stored on the user's computer by the user's web browser whil...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
以下是一个示例,展示了如何在响应头中添加带有HttpOnly属性的Cookie: ```java response.setHeader("Set-Cookie", "username=JohnDoe; Path=/; HttpOnly"); ``` 或者,如果你使用的是Spring框架,可以在Cookie...
详解Cookiehttponly设置与安全性
在第九节关于cookie的讲解中,主要讨论了cookiehttponly设置及其在Web安全中的重要性。首先,我们需要了解什么是cookieCookie是HTTP协议下,Web服务器为了识别用户身份、管理会话状态而在用户本地终端上存储的...
Laravel5中Cookie的使用详解
10-19
Laravel的`Cookie`门面还提供了更多的高级功能,例如设置Cookie的其他属性,比如路径(path)、域(domain)、安全标志(secure)、HTTPOnly标志等。 总之,Laravel5为开发者提供了非常方便、强大的Cookie管理功能...
PHPCookie的使用详解(简单易懂)
10-19
PHP中的Cookie使用详解 Cookie是服务器在客户端浏览器中保存用户信息的一种方式,它的作用类似于给用户贴上了一个标签,以便服务器能够记住该用户。使用Cookie,可以实现自动登录、记住用户设置、跟踪用户活动等...
什么是 cookiehttponly 属性
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
06-17 6114
在设置了 HttpOnly 属性的情况下,浏览器将禁止通过 JavaScript 访问和修改 Cookie,从而有效地防止一些常见的攻击,例如跨站脚本攻击(XSS)。在一个具有用户身份认证的 Web 应用程序中,服务器在用户成功登录后,将用户凭据存储在一个名为 “authToken” 的 Cookie 中,并设置其 HttpOnly 属性。一个在线银行应用程序在用户进行敏感操作(如转账)时,将用户的会话标识存储在一个名为 “sessionID” 的 Cookie 中,并设置其为 HttpOnly
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 7226
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
小王的技术库
11-08 1518
XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
cookie安全之HTTP -only
Whatsoever1的博客
04-14 817
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的CookieHttpOnly属性。
【JavaScript 教程】浏览器模型—Cookie
web前端开发
03-13 237
作者 | 阮一峰1、概述Cookie 是服务器保存在浏览器的一小段文本信息,一般大小不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。...
Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
小兵qwer的专栏
08-16 9614
Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.youkuaiyun.com/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值