cookie设置HttpOnly
1.什么是HttpOnly?
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
2.javaEE的API是否支持?
Servlet3.0支持,详细见:http://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/http/Cookie.html
3.HttpOnly的设置样例
非servlet3.0的JAVAEE项目也可以通过设置Header进行设置,格式如下:
response.setHeader("Set-Cookie", "cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。
- Cookie cookies[]=request.getCookies();
cookie设置HttpOnly相关推荐
- cookie设置httponly属性防护XSS***
***者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,***这里用获取的COOKIE登陆账号,并进行非法操作. COOKIE设置http ...
- cookie 设置 httpOnly属性
cookie 设置 httpOnly属性防止js读取cookie. 建立filter拦截器类 CookieHttpOnlyFilter import java.io.IOException; impo ...
- Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.c ...
- Cookie设置HttpOnly属性
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API.最为突出特性:支持直接修改Se ...
- 如何为cookie设置HttpOnly
将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie. 如何在Java中设置cookie是Ht ...
- Tomcat为Cookie设置HttpOnly属性
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的: B:服务端可以自定义建立Cookie对象及属性传递到客户端: 服务端建立的Cooki ...
- java设置httponly_Tomcat为Cookie设置HttpOnly属性
B:服务端可以自定义建立Cookie对象及属性传递到客户端: 服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session ...
- 前端cookie设置httpOnly和secure拿不到,换成localstorage+加密方式
之前同事用的 import Cookies from 'js-cookie'const TokenKey = 'Admin-Token'export function getToken() {retu ...
- JAVA设置HttpOnly Cookies
HttpOnly Cookies是一个cookie安全行的解决方案. 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly ...
最新文章
- 关于ASP.NET MVC P5中CheckBox的HtmlHelper方法的bug。
- kalman滤波(二)---扩展kalman滤波[EKF]的推导
- 网络知识科普 | 你未必了解的DNS
- oracle之单行函数2
- 分库分表解决方案之MyCat
- vue项目原理分析-3:vuex
- 客户和顾客是一个意思吗_履约保证金和投标保证金是一个意思吗?
- 一个demo学会jquery mobile
- easymock使用方法_EasyMock无效方法– ExpectLastCall()
- 传智播客 GIL(全局解释器锁)学习
- lg g3 android 5.0,lg g3 5.0 root教程_lg g3获取5.0系统的root方法
- java 音频 网络传输_如何流式传输音频?
- 关于python画太阳花
- mysql 库存超卖_mysql处理高并发,防止库存超卖
- 2021-02-09
- dcdc升压电源模块可调直流HRB5v24v12v转50v120v165v110v180v350v
- vue树形权限菜单_vue实现树形菜单步骤说明
- 【netron】模型可视化工具netron
- 三十而已 豆瓣短评分析
- 初中英语知识水平测试软件,初中英语学科知识与能力模拟测试七