名称叫JSESSIONID的Cookie,HttpOnly明明是true,服务器端获取的HttpOnly的值始终是false

今天遇到一个很奇葩的问题!浏览器中明明有HttpOnly等于true的Cookie,可是从服务器端获取的所有的Cookie的HttpOnly的值都是false!

我的环境是谷歌浏览器 + tomcat7 + eclispe

我是访问一个servlet,然后在servlet中转发到某个jsp页面,我在servlet中,把客户端的所有的Cookie打印出来了!

直接看图:

从图中可以看出浏览器中名称叫JSESSIONID的Cookie的HttpOnly的值是true!

可是为什么服务器端获取名称叫JSESSIONID的Cookie的HttpOnly的值却始终是false!应该是true才对啊!实在是搞不懂原因!

czh500
lay500 回复caozhy: 谢谢您的回答!感谢!有的已经采纳了,再次感谢您!谢谢!
10 个月之前 回复
czh500
lay500 回复caozhy: 阁下,真不是刷分,之前发问题那个功能点了老是出错,一直发不了问题,然后我就把问题写到csdn博客里记录下来了,等发问题功能好使的时候再发问题,昨天就集中把积累的问题发了,发问题的时候觉得问题区篇幅有限,而且有些问题自己都记不清当时的想法了,所以觉得带个原来的文章的链接,想着可以清晰一些,我已经把文章外链删除了,昨天把积累的问题一次性发了,结果csdn以为是刷分的,全部删除了,今天恢复了,谢谢您!
10 个月之前 回复
caozhy
贵阳老马马善福专门编写代码的老马就是我! 大家可以散了。这个人一直提问,但是从来不采纳,这就奇怪了。如果说他问的所有问题都没有满意的回答,那么这里根本不能解决他的问题,他为啥锲而不舍地不断问问题呢?如果说他能得到有用的回答,为什么从来不采纳呢。只有一个可能性,这个人就是来刷经验的。信用分那么低,都负数了,你们回答他问题其实就是被他耍了。大家注意看原文章三个字,其实就是来挂他的文章的外链。
10 个月之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
设置cookie的httponly属性
方法1: tomcat的conf下的server.xml文件中,添加useHttpOnly="true" 方法2: tomcat的conf下的context.xml文件中,添加useHttpOnly="true"     WEB-INF/web.xml 检查设置成功
cookie中存储的值设置httponly和secure
最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。 首先什么是httponly和secure呢?是cookie中的两个属性 当设置了httponly为true时,通过js脚本是无法获取到cookie的信息的。防止XSS攻击。 secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。 设置sessionid...
完整获取webBrowser1.Document.Cookie取不到HttpOnly的Cookie
完整获取webBrowser1的Cookie HttpOnly的Cookie
idhttp 居然获取不到HttpOnly的cookie?有没有大神知道获取HttpOnly的Cookie的方法
最近写一个批量下载网站数据的程序,用Idhttp的POST返回的头部居然没有Set-cookie。。。很是郁闷rn明明firefox都可以的我也设置allowcookie为true也连接了cookiemanger就是获取不到cookie,研究了好几天了,有没有大神帮帮忙啊
【安全拾遗】cookie保护伞之Httponly
在网站攻击中,XSS攻击是很常见的一种。 XSS全称Cross Site Scripting,为不与CSS重名,故写作XSS。攻击者通过在原始页面注入恶意的javascript脚本语言,达到获取用户token,从而达到伪造用户身份的目的。 为了防范XSS的攻击,浏览器开发商发明了一个属性Httponly,如果给Cookie加上这个属性,js就不能通过document.cookie来获取Co
Session Cookie的HttpOnly和secure属性
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
MFC webbrowser控件获取浏览器HttpOnly属性的cookie
MFC webbrowser控件获取浏览器HttpOnly属性的cookie 很多时候,我们需要获取浏览器的cookie信息进行一些模拟操作,例如发送get请求和post请求获取登录后的网站信息,当前比较火的爬虫爬取用户登录后都需要用到相应的cookie凭证。因为我们可以使用webbrowser浏览器实现登录过程,然后拿到cookie,将cookie值取出来,就可以供Python或者libcur发...
有关cookie的httponly属性相关
先记录下相关网上的链接,有时间自己再总结一份自己的理解   http://en.wikipedia.org/wiki/HTTP_cookie   http://www.cnblogs.com/downmoon/archive/2008/09/11/1289298.html   http://msdn.microsoft.com/zh-cn/library/system.web.http...
使用HttpOnly保护cookie的安全性
XSS 介绍 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 由于Http是无状态协议。因此Http的状态要通过Cookie或者Session来维持。当cookie被用户获取后。会存在很大的安全隐患。 httponly 如果您在cookie中设置了HttpOnly属性,那...
Cookie的secure和httpOnly属性的含义
Cookie访问控制cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定不行的,所以浏览器是不允许跨域访问cookie的,提高了Cookie的安全性。在前面的文章 session和cookie介绍 中,已经介绍了cookie的作用域,主要是说一级域名相同情况下如何共享使用cookie。如果想实现跨域访问,可以通过JSONP、CORS的方法实现。另外,HTTP设置coo...
关于winform模拟登陆获取httponly cookie的问题
由于网站验证码不能识别(中文验证码),不能直接POST数据,所以想采用弹出一个浏览器框令用户登陆的方式获取cookie。rn初步打算的是使用webbrowser进行操作,并使用InternetGetCookie来获取登陆后的cookie,但是一个问题就是如果用户的IE版本为8.0以下,使用API是不能获取到cookie的。rn之后打算使用为webbrowser设置代理并分析返回HTTP数据包的方式来获取cookie,但是InternetSetOption是在程序中全局的,程序中每个webbrowser的代理都会修改,而现在只希望修改一个。rn最后尝试使用其他浏览器内核,但是ff和webkit都太庞大了,不符合要求。rn所以现在求一个能在任何时候均可获取httponly cookie的方法,或一个可以单独对某个webbrowser设置代理的方法,或一个轻量级、可完全获取cookie的浏览器内核,感激不尽。
Cookie中的httponly的属性和作用
1.什么是HttpOnly?如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其...
Retrieve HttpOnly Session Cookie in WebBrowser
In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1. This feature is a new attribute for cookies which prevents them from being accessed through client-side script. A cookie with this attribute is called an HTTP-only cookie.
如果访问httponly的cookie呢?
哪位朋友知道的吗?
自动登录返回的cookie如何得到 httponly javascript
response header中是rnSet-Cookie: sso=r=2009896016&sid=&wsid=FF057B8A38313854B0DC40C8E15B6EF7;Path=/;Domain=tianya.cn;HttpOnly;Max-Age=2592000;Expires=Mon Mar 31 10:04:35 CST 2014rn rnrn返回的数据是网页,里面有javascript代码设置cookie,生成的cookie和set-cookie里的不一样rn 这两个哪一个才是真正的cookiernrn网页运行返回的javascript 为什么没有生成本地的cookie,打开仍然是未登录的状态。返回的数据是html文件如下:rnrnrnrnrn rn rn rn 登录中......rn rnrnrnrnrn rn rnrn把这个数据保存为网页运行,仍然没有登录成功,这是为什么rnrn
ASP中设置cookie的HttpOnly属性
在网上看到cookie如何设置HttpOnly的属性,并贴出代码,却始终找不到ASP是如何设置的。有没有会的帮我贴一下代码,新人求救~~
VC 里面如何修改 HttpOnly 属性的 Cookie
是这样 用VC 处理网页数据,有时候需要修改 HttpOnly 属性的 Cookie 但是试了很多办法都不行,哪位大神能提供下办法,在 VC 里面修改 HttpOnly 属性的 Cookie
如何在IE7下面设置httponly cookie?
我想通过调用InternetSetCookieEx设置一个httponly的cookie。我在IE6,IE8/IE9下面调用都可以成功。但是在IE7下面调用失败。rnrnInternetSetCookieEx的文档 ( http://msdn.microsoft.com/en-us/library/aa385108(v=vs.85).aspx )中提到, INTERNET_COOKIE_HTTPONLY这个标志需要IE8以上,但是我在IE6上是调用成功的。IE7调用失败,返回COOKIE_STATE_REJECT (The cookies are rejected.). rnrn我觉得和隐私设置是没有关系的。即使我把IE7的隐私设置改成接受所有的cookie,一样的失败结果。rnrn我调用的语句如下:rnrn[code=C/C++]BOOL b=InternetSetCookieEx(_T("http://www.domain.com/"),_T(""),_T("cookiename=cookievalue; path=/; httponly"),INTERNET_COOKIE_HTTPONLY,0);[/code]rnrn请高手指教。看看是不是我的调用方式不对,或者有没有什么别的方法可以在IE7下面设置httponly cookie。 rnrn多谢多谢。燃眉之急。
Cookie上直接设置HttpOnly属性
1.需要在web.xml中配置过滤器 <!-- cookie添加HttpOnly属性 -->    <filter>        <filter-name>CookieFilter</filter-name>        <filter-class>文件目录.CookieFilter</filter-class>    &...
JAVAEE兼容低版本设置Cookie的HttpOnly属性
在做安全扫描的时候,会把Cookie中没有HttpOnly属性作为漏洞,需要处理,但是在低版本的Servlet API中并没有相关的设置方法,高版本可以直接使用Cookie对象的setHttpOnly(boolean httpOnly)方法进行设置,那么要解决这个问题,我们只能升级了吗?并不是,升级的代价可能会很大,所以本篇文章结合了新版本的API,可以直接为HttpServletResponse...
apache 2.2.2 会话cookie配置httponly属性
rn 最近修复客户问题,架构大概2台linux服务器,前台服务器(apache2.2.2反向代理)处理外网请求,转发给后台服务器(tomcat7+java web程序)。现在问题是访问前台服务器网页,会话cookie没有httponly属性。本人通过在httpd conf中Header set Set-Cookie HttpOnly;Secure 以及修改tomcat 7配置都没生效。求大神帮忙看看,提供解决办法,谢谢。rnrn Header add Access-Control-Allow-Origin http://192.168.2.105:8080/xxxxrnrnrn#rn# Each directory to which Apache has access can be configured with respectrn# to which services and features are allowed and/or disabled in thatrn# directory (and its subdirectories). rn#rn# First, we configure the "default" to be a very restrictive set of rn# features. rn#rnrn Options FollowSymLinksrn AllowOverride Nonern Header set Access-Control-Allow-Origin http://192.168.2.105:8080/xxxxxrnrn注:个人少发贴所以分数不多,多多包涵。
java过滤器给Cookie加上HttpOnly属性
java过滤器给Cookie加上HttpOnly属性网上撸下来的代码登录不了..直接贴代码片 网上撸下来的代码登录不了… 公司安全扫描出的漏洞之一,看到的第一步就是各种百度,但是简单复制粘贴过来的代码连登录都登录不上了… 尴尬;然后发现貌似cookie的Name和value没有对应上,需要改一点点… 直接贴代码片 /** * 执行过滤,设定cookie为HttpOnly *...
php基础之会话httponly以及删除cookie
主要讲了cookie session 图片上传类以及验证码类
cookie设置httpOnly和secure属性实现及问题
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
会话cookie中缺少HttpOnly属性
项目经第三方机构进行安全扫描漏洞出现“会话cookie中缺少HttpOnly属性”问题 安全风险 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 Web 应用程序设置了缺少 HttpOnly 属性的会话 cookie 技术描述 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含“
会话 cookie 中缺少HttpOnly 属性 的问题
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其中有一个漏洞问为“会话 cookie 中缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含 “HttpOnly”属性的会话 cookie。由于此会话 cookie 不包含“HttpOnly”属性,因此 注入站点的恶意脚本可能访问此 cookie,
增加 cookie 安全性添加HttpOnly和secure属性
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
如何得到webbrowser中的httponly cookie
我的vc++程序调用了webbrowser控件,在里面用手工输入用户名和密码,成功登录了某个网站,但返回的cookie中具有httponly属性,这样的cookie怎么才能取得到呢?
websphere7.0 httponly,ssl解决方案
Webphere7.0下,Cookie中添加Httponly,Secure属性的解决方案,大侠们救救啊!!!
HttpOnly 隐私嗅探器
EtherDream · 2014/08/19 11:290x00 前言终于赶上个想写点东西的日子,原本打算继续更新那拖了好久的流量劫持系列的博客和工具。不过中午闲来无事去乌云逛了圈,发现百度的漏洞又双叒叕上头条了!而且还是那个 BDUSS 泄露的问题,记不得这已经是第几回了。尽管这事和咱没啥关系,但本着拯救世界和平的目的,还是打算去研究下:)既然是 cookie 泄露,无非就两种。要么就是硬伤,...
如何在CHtmlView中获取带httponly 的 cookie
如何在CHtmlView中获取带httponly 的 cookie,重金酬谢
网站安全之设置HttpOnly的方法
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
PrintDialog.PrinterSettings.Collate的值始终是False
我在调用PrintDialog.ShowDialog()方法之后,无论是否选择PrintDialog上面的自动分页,调试的时候PrintDialog.PrinterSettings.Collate的值始终是False。
Cookie没有HttpOnly标志设置 -- Cookie没有安全标志设置
漏洞扫描-- Cookie没有HttpOnly标志设置 java设置session配置: yml文件配置: server: session: cookie: http-only: true 或者properties文件配置: server.session.cookie.http-only=true    ...
cookie接值接的是JSESSIONID
在JS里做了一个cookie,想把登录的用户获得了,登录后跳转到主页面 rn[code=javascript]rndate.setTime(date.getTime()+30*24*3066*1000); document.cookie="username="+escape(responseMessage.data[0].name)+";expires="+date.toGMTString(); window.location = "../../indexForm/html/index.html" rn[/code]rnrn在接收的js里 rn[code=javascript]rnvar c = document.cookie; rnalert(c); rnvar username; rnvar cookiesArr = document.cookie.split(";"); rnvar arr = cookiesArr[0].split("="); rnusername = unescape(arr[0]); rnif("username"==arr[0]) rn rnrn[/code]rn结果接收的东西是:JSESSIONID=95B1DD3FFBD124777274C3C3BFF9B531 rn应该是username=xxx rn如何解决? rn
cookie设置了HttpOnly然后JS就...没法判断到是否存在了
PHP5:rnsetcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);rn最后一个参数为HttpOnly属性rnrn有个退出标签 是 用js 获取cookie是不是存在的rnrn存在就给出 退出的链接,不存在就为nullrnrn现在设置了 HttpOnly 怎么做才能判断cookie呢,rnrn难道就这样废了吗. 鱼和熊掌不能兼得吗
Apache httpOnly Cookie信息泄露漏洞如何解决
请问Apache HTTP Server "httpOnly" Cookie信息泄露漏洞 如何解决
Web项目:会话Cookie中缺少HttpOnly属性和secure属性
当会话Cookie中不含有HttpOnly属性和secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly”属性,才能防止会话 cookie...
检测到会话cookie中缺少HttpOnly属性
tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly: <Context useHttpOnly="true"> ...
相关热词 c#入门推荐书 c# 解码海康数据流 c# xml的遍历循环 c# 取 查看源码没有的 c#解决高并发 委托 c#日期转化为字符串 c# 显示问号 c# 字典对象池 c#5.0 安装程序 c# 分页算法