1.什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如:
//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。

Cookie cookies[]=request.getCookies(); 
————————————————
版权声明:本文为CSDN博主「YG青松」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_38553333/article/details/80055521

Cookie中的httponly的属性和作用相关推荐

  1. 检测到会话cookie中缺少HttpOnly属性

    解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)respons ...

  2. html语言中标签的class属性的作用

    其实class属性的值对应的就是你定义的css的名字,它和class的属性值相对应. 例如:<td class="t1"></td> <style t ...

  3. Html中value和name属性的作用

    1.按钮中用的value 指的是按钮上要显示的文本  比如"确定""删除"等 2.复选框用的value 指的是这个复选框的值 3.单选框用的value 和复选框 ...

  4. Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性

    近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1.攻击原理 任何以明文形式发送到服务器的 cookie.会话令牌或用户凭证 ...

  5. Cookie中HttpOnly的使用方式以及用途

    一.HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改.但是, ...

  6. HTML5中常用的标签(及标签的属性和作用)

    1.标签:<!DOCTYPE> 作用:声明是文档中的第一成分,位于<html>标签之前. 2.标签:<html> 作用:此元素可告知浏览器其自身是一个HTML文档. ...

  7. html标签中lang属性及xml:lang属性的作用

    lang属性:HTML语言声明属性,用来定义当前文档显示的语言. 如:lang="en"表示定义语言为英文:lang="zh-CN"表示定义语言为中文.其实对于 ...

  8. 网络请求中的cookie与set-Cookie的交互模式和作用

    首先我们需要思考,很多问题. 1.当很多人访问统一网络服务器,服务器如何来区分不同的用户呢? 答:sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服 ...

  9. html中属性的作用,html的标签中 unselectable=on 属性的作用

    在IE浏览器中,当input获得焦点时,点击有unselectable="on"属性的标签时,不会触发onblur事件. 加上该属性的元素不能被选中. < !DOCTYPE ...

最新文章

  1. oracle rman异机恢复
  2. xcode8控制台输出大量不用的log的问题解决NSLog失效的解决
  3. Tomcat WebappClassLoader 类加载机制源码分析
  4. 分布式与人工智能课程(part5)--第五课
  5. 【Android 修炼手册】常用技术篇 -- Android 插件化解析
  6. Markdown常用转义字符
  7. linux下tree命令详解
  8. leetcode - 120. 三角形最小路径和
  9. shell 整理(36)===写斐波那契数列
  10. 自动交易软件的功能特点能满足哪些要求?
  11. 单片机万年历阴阳历c语言,自己制作的单片机万年历 程序+原理图
  12. web端文字转语音播放的几种方式
  13. c# 非阻塞算法_c# – 了解非阻塞线程同步和Thread.MemoryBarrier
  14. 【IIS】VS+IIS发布网站
  15. google play以及google pay
  16. 新时达电梯服务器显示外呼错,干货:电梯报UCMP故障,其故障现象太怪异了……...
  17. 种群遗传学的多态性衡量参数
  18. GitHub上重要的几个搜索技巧
  19. 翻遍了整个知乎,终于找到了这套阿里Java面试指南,强烈建议社招程序员都看看
  20. android mac软件,Android 开发中我 Mac的软件

热门文章

  1. Solve error: Cannot open include file: 'X11/Xlocale.h': No such file or directory
  2. JavaScript不采用prototype和new来实现继承机制的方式
  3. hbase 学习(十二)非mapreduce生成Hfile,然后导入hbase当中
  4. java线程池原理简答_面试官让我讲讲Java线程池的实现原理,我笑了...
  5. laravel框架连接Oracle,laravel5.8(十四)连接oracle数据库
  6. drools 将添加switch支持
  7. mac 截图快捷键
  8. 7天内新闻前加 new
  9. IHttpModule与IHttpHandler的区别整理
  10. jquery基础知识(二)