Cookie中的httponly的属性和作用
1.什么是HttpOnly?
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
2.HttpOnly的设置样例
response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。
Cookie cookies[]=request.getCookies();
————————————————
版权声明:本文为CSDN博主「YG青松」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_38553333/article/details/80055521
Cookie中的httponly的属性和作用相关推荐
- 检测到会话cookie中缺少HttpOnly属性
解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)respons ...
- html语言中标签的class属性的作用
其实class属性的值对应的就是你定义的css的名字,它和class的属性值相对应. 例如:<td class="t1"></td> <style t ...
- Html中value和name属性的作用
1.按钮中用的value 指的是按钮上要显示的文本 比如"确定""删除"等 2.复选框用的value 指的是这个复选框的值 3.单选框用的value 和复选框 ...
- Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1.攻击原理 任何以明文形式发送到服务器的 cookie.会话令牌或用户凭证 ...
- Cookie中HttpOnly的使用方式以及用途
一.HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改.但是, ...
- HTML5中常用的标签(及标签的属性和作用)
1.标签:<!DOCTYPE> 作用:声明是文档中的第一成分,位于<html>标签之前. 2.标签:<html> 作用:此元素可告知浏览器其自身是一个HTML文档. ...
- html标签中lang属性及xml:lang属性的作用
lang属性:HTML语言声明属性,用来定义当前文档显示的语言. 如:lang="en"表示定义语言为英文:lang="zh-CN"表示定义语言为中文.其实对于 ...
- 网络请求中的cookie与set-Cookie的交互模式和作用
首先我们需要思考,很多问题. 1.当很多人访问统一网络服务器,服务器如何来区分不同的用户呢? 答:sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服 ...
- html中属性的作用,html的标签中 unselectable=on 属性的作用
在IE浏览器中,当input获得焦点时,点击有unselectable="on"属性的标签时,不会触发onblur事件. 加上该属性的元素不能被选中. < !DOCTYPE ...
最新文章
- oracle rman异机恢复
- xcode8控制台输出大量不用的log的问题解决NSLog失效的解决
- Tomcat WebappClassLoader 类加载机制源码分析
- 分布式与人工智能课程(part5)--第五课
- 【Android 修炼手册】常用技术篇 -- Android 插件化解析
- Markdown常用转义字符
- linux下tree命令详解
- leetcode - 120. 三角形最小路径和
- shell 整理(36)===写斐波那契数列
- 自动交易软件的功能特点能满足哪些要求?
- 单片机万年历阴阳历c语言,自己制作的单片机万年历 程序+原理图
- web端文字转语音播放的几种方式
- c# 非阻塞算法_c# – 了解非阻塞线程同步和Thread.MemoryBarrier
- 【IIS】VS+IIS发布网站
- google play以及google pay
- 新时达电梯服务器显示外呼错,干货:电梯报UCMP故障,其故障现象太怪异了……...
- 种群遗传学的多态性衡量参数
- GitHub上重要的几个搜索技巧
- 翻遍了整个知乎,终于找到了这套阿里Java面试指南,强烈建议社招程序员都看看
- android mac软件,Android 开发中我 Mac的软件
热门文章
- Solve error: Cannot open include file: 'X11/Xlocale.h': No such file or directory
- JavaScript不采用prototype和new来实现继承机制的方式
- hbase 学习(十二)非mapreduce生成Hfile,然后导入hbase当中
- java线程池原理简答_面试官让我讲讲Java线程池的实现原理,我笑了...
- laravel框架连接Oracle,laravel5.8(十四)连接oracle数据库
- drools 将添加switch支持
- mac 截图快捷键
- 7天内新闻前加 new
- IHttpModule与IHttpHandler的区别整理
- jquery基础知识(二)