防止javascript脚本读取cookie信息
1.设置HttpOnly
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索
2.javaEE的API是否支持?
目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现
3.HttpOnly的设置样例
javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取
Cookie cookies[]=request.getCookies();
C#
HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
VB.NET
Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)
但是在 .NET 1.1 ,中您需要手动添加
Response.Cookies[cookie].Path += ";HTTPOnly";
PHP4
header("Set-Cookie: hidden=value; httpOnly");
PHP5
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性
参考
http://www.owasp.org/index.php/HTTPOnly
转自:http://yzd.iteye.com/blog/787190
http://www.oschina.net/question/100267_65116
将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。
如何在Java中设置cookie是HttpOnly呢?
Servlet 2.5 API 不支持 cookie设置HttpOnly
http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.5/docs/servlet-2_5-mr2/
建议升级Tomcat7.0,它已经实现了Servlet3.0
http://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/http/Cookie.html
但是苦逼的是现实是,老板是不会让你升级的。
那就介绍另外一种办法:
利用HttpResponse的addHeader方法,设置Set-Cookie的值
cookie字符串的格式:key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
在实际使用中,我们可以使FireCookie查看我们设置的Cookie 是否是HttpOnly
http://zhenghaoju700.blog.163.com/blog/static/13585951820138267195385/
防止javascript脚本读取cookie信息相关推荐
- CefSharp中c#和JavaScript交互读取电脑信息
介绍 CEF是由Marshall Greenblatt于2008年创建的基于Google Chromium的BSD许可开源项目.与主要关注谷歌Chrome应用程序开发的Chromium项目本身不同,C ...
- linux脚本读取输入信息,LinuxCommandLinex -- [ 脚本 - 读取输入]
read $ISF read read [options] [variable...] options: -p prompt 提示语句 -t timeout 超时 -s slient 不显示用户输入( ...
- 05,JavaScript脚本中cookie
cookie:一般是被浏览器以数据库的形式存储在电脑硬盘中,供该浏览器进行读.写操作. (1),添加cookie function addCookie(){// 添加cookiedocument.co ...
- javascript读取php,PHP如何读取由JavaScript设置的Cookie
cookie在开发中使用的非常多,但如果是使用JavaScript设置cookie然后使用PHP读取出来如何实现呢?即PHP与JavaScript下Cookie的交互使用是否可行呢? // 读取Jav ...
- javascript实现根据身份证号读取相关信息
本文转载:https://www.jb51.net/article/58643.htm 这篇文章主要介绍了javascript实现根据身份证号读取相关信息,需要的朋友可以参考下 公民身份号码由六位数字 ...
- jerryscript 读取 javascript 脚本并解析
开发环境 Win10 64位 Keil MDK 5.30 ART-Pi 开发板:STM32H750XBH6开发板 工程:最小RT-Thread 系统,版本:RT-Thread v4.1.0 relea ...
- JavaScript 读取Cookie
读取Cookie 可以通过document.cookie直接读取cookie的内容: var strCookie = document.cookie; 此时,strCookie是一个由该域名下的所有 ...
- html 写入cookie,JavaScript 写入与读取cookie
cookie实质是存储在计算机硬盘上一个文本文件,内中存储着一定量的信息.在实际应用中,站点可能会向用户硬盘写入cookie,也会根据需要读取cookie. 下面通过代码实例介绍一下相关操作原理,并给 ...
- C# 系统应用之Cookie\Session基础知识及php读取Cookie\Session
本文主要是毕业设计"个人电脑使用记录清除软件"系列系统应用文章中关于Cookie方面的知识,主要从介绍Cookie的基础知识和PHP关于Cookie\Session两个会话管理机制 ...
- javascript / jquery 操作 cookie
什么是Cookie? 谓Cookie,是网页 通过浏览器保 存在用户本地计算机 上的一小段数据 .用户再次访问该网页的时候,浏览器会将这一小段数据发送给该网页.Cookie是网景公司的前雇员Lou M ...
最新文章
- 【SICP练习】84 练习2.56
- SkFlattenable /Registrar/
- python绘制动态模拟图-用python生成地球运动的动态模拟动态图
- PHP:第四章——PHP数组array_diff计算数组差集
- 数据库-优化-数据库结构的优化-拆分优化
- 设计模式之_Iterator_03
- 计算机网络7种类型,OSPF中7种类型LSA
- 算法“视”界杯上演十强争锋,大赛终极一战圆满落幕
- 片偏移怎么计算_搞懂钢丝网片计算原理,怎么算都不怕出错!
- 王思聪花了100万的组装的电脑,网速到底有多快?
- linux下python、django框架的配置
- py文件编译成pyc文件
- 3.3、怎么通过STLINK下载程序(附STLINK驱动包)
- Android ActivityManager一些API介绍
- matlab 仿真光学实验报告,基于matlab的光学实验仿真毕业论文.doc
- b站视频-尚硅谷jQuery教程张晓飞老师-笔记(二)
- 公司员工后台管理系统界面设计-Axure9原型设计
- NLP自然语言处理学习笔记(十)(转自咕泡AI)
- 趣味选择题.html
- 为什么要学习数据结构?