一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时 候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操 作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。
如果你正在使用的是兼容 Java EE 6.0 的容器,如 Tomcat 7,那么 Cookie 类已经有了 setHttpOnly 的方法来使用 HttpOnly 的 Cookie 属性了。
1
|
cookie.setHttpOnly( true );
|
设置完后生成的 Cookie 就会在最后多了一个 ;HttpOnly
另外使用 Session 的话 jsessionid 这个 Cookie 可通过在 Context 中使用 useHttpOnly 配置来启用 HttpOnly,例如:
1
2
|
< Context path = "" docBase = "D:/WORKDIR/oschina/webapp"
reloadable = "false" useHttpOnly = "true" />
|
也可以在 web.xml 配置如下:
1
2
3
4
5
|
< session-config >
< cookie-config >
< http-only >true</ http-only >
</ cookie-config >
< session-config >
|
对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly
1
|
< httpCookies httpOnlyCookies = "true" …>
|
而程序的处理方式如下:
C#:
1
2
3
|
HttpCookie myCookie = new HttpCookie( "myCookie" );
myCookie.HttpOnly = true ;
Response.AppendCookie(myCookie); |
VB.NET:
1
2
3
|
Dim myCookie As HttpCookie = new HttpCookie( "myCookie" )
myCookie.HttpOnly = True
Response.AppendCookie(myCookie) |
.NET 1.1 只能手工处理:
1
|
Response.Cookies[cookie].Path += ";HttpOnly" ;
|
PHP 从 5.2.0 版本开始就支持 HttpOnly
1
|
session.cookie_httponly = True |
相关推荐
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
完整获取webBrowser1的Cookie HttpOnly的Cookie
下面小编就为大家带来一篇httpwebreqeust读取httponly的cookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
第九节 cookie的httponly设置-01
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
Express 中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1.... A cookie with this attribute is called an HTTP-only cookie.
Extjs 关于cookie 实现实时存储 数据存储的操作, 将数据存放cookie中,防止断电
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
在mvc中验证如何存取cookie,并通过cookie的httponly属性防止cookie被jquery脚本窃取。
.net 获取浏览器Cookie(包括HttpOnly)实例分享.docx
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下
服务器可能会设置多个Cookie,而HttpOnly可以有选择性地加在任何一个Cookie值上。在某些时候,应用可能需要JavaScript访问某几项Cookie,这种Cookie可以不设置HttpOnly标记;而仅把HttpOnly标记给用于认证的关键...
这是一个封装好的js对象函数,用于对cookie的增删改查。
本ppt根据当前Web应用的安全情况,列举了Web应用程序常见的漏洞及危害,并给出防范措施。