之前在做c#项目和vue项目通信遇到一个bug,就是cookie的httponly打包前能够起作用,打包后项目的httponly打钩,浏览器会报跨域错误.
2条回答 默认 最新
伟庭师兄weiting 2023-08-23 22:51关注1.什么是HttpOnly?
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
2.HttpOnly的设置样例
response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。
Cookie cookies[]=request.getCookies();
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2020-09-17 14:29回答 1 已采纳 https://blog.csdn.net/chen_fuming/article/details/17802051
- 2014-02-02 12:54回答 1 已采纳 Laravel provides an option for this, but the docs don't show it. The best way is to look through t
- 2018-05-18 06:17回答 1 已采纳 Hope this will help you : Try Using Array Method (Alternative), an associative array is passed to
- 2023-06-27 15:11Jeanfo的博客 将 Cookie 的httpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户...
- 2020-10-30 10:23回答 2 已采纳 你的配置不对 ``` server.servlet.session.cookie.http-only ``` 对于springboot的正确配置,你可以参考 [https://prop.spr
- 2023-02-07 16:36回答 1 已采纳 你可以看下这个问题的回答https://ask.csdn.net/questions/7663008你也可以参考下这篇文章:Cookie跨域问题的解决
- 2015-01-09 19:04回答 1 已采纳 You can disable session cookies for the whole application by changing the session driver to array
- 2022-01-19 08:25pingan8787的博客 廖宜康,Happy every day 前端开发工程师!前言作为前端开发,cookie是我们经常需要打交道的东西。我们用它来鉴权,用它来实现行为跟踪,用它给无状态的 http 协议以“状态...
- 2016-05-07 00:00回答 1 已采纳 cookie := http.Cookie{Name: "_c_id_", Value: "abcd", Path: "/", HttpOnly: true, Secure: false} se
- 2014-07-29 05:22回答 1 已采纳 First thing, you should enabled debug mode in your application (Configure::write('debug', 2)), or
- 2017-06-03 06:50回答 1 已采纳 No it is not required, but if you DO NOT use it the path used to find the file will include the pr
- 2021-06-11 12:30余楚客的博客 单选框用的value 和复选框一样4.下拉菜单用的value 是列表中每个子项的值5.隐藏域用的value 是框里面显示的内容在后台如果你想得到复选框的内容 就是value 来取当你在接收表单数据的页面中获取数据时,得到的就是...
- 2018-02-07 16:52回答 1 已采纳 Here is a golang playground. It shows that what the OP posted works, so the bug is somewhere else.
- 2022-01-28 10:46YvetteLau的博客 廖宜康,Happy every day 前端开发工程师!前言作为前端开发,cookie是我们经常需要打交道的东西。我们用它来鉴权,用它来实现行为跟踪,用它给无状态的 http 协议以“状态...
- 2019-03-07 10:28冰河世纪20的博客 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie 通过在客户端记录信息确定用户身份,Session 通过在服务器端记录信息确定用户身份。 因为 HTTP ...
- 2024-03-20 15:30WenJGo的博客 session和cookie分析对比
- 2013-11-24 19:45mike_caoyong的博客 XSS是一种存在Web应用中,允许黑客以最终用户的身份向Web应用注入恶意脚本,以愚弄其他用户或获取其他用户重要数据和隐私信息为目的的一种攻击形式。 XSS可使用的技术有JavaScript、VBScript、 ActiveX、 或 ...
- 2023-08-14 22:44LL大个仔的博客 另一个控制 Cookie 消息头发送时机的选项是 path 选项,和 domain 选项类似,path 选项指定了请求的资源 URL 中必须存在指定的路径时,才会发送 Cookie 消息头。当存在一个 cookie,并允许设置可选项,该 cookie 的...
- 2023-08-11 02:08禅与计算机程序设计艺术的博客 然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供...
- 2020-03-21 15:01zhouyong80的博客 文章目录Cookie详解基本概念和设置Cookie的应用和存储机制删除CookieSession详解会话管理创建会话PHP中的session工作机制PHP中的Session存储机制注销和注销会话变量扩展——使用Redis存储Session HTTP协议是无状态...
- 没有解决我的问题, 去提问
问题事件
系统已结题
8月31日
已采纳回答
8月23日-
创建了问题
8月22日
悬赏问题
- ¥15 stc15f2k60s2单片机关于流水灯,时钟,定时器,矩阵键盘等方面的综合问题
- ¥15 YOLOv8已有一个初步的检测模型,想利用这个模型对新的图片进行自动标注,生成labellmg可以识别的数据,再手动修改。如何操作?
- ¥30 NIRfast软件使用指导
- ¥20 matlab仿真问题,求功率谱密度
- ¥15 求micropython modbus-RTU 从机的代码或库?
- ¥15 django5安装失败
- ¥15 Java与Hbase相关问题
- ¥15 后缀 crn 游戏文件提取资源
- ¥20 bash代码推送不上去 git fetch origin master #失败了
- ¥15 LOL外服加入了反作弊系统,现在游戏录像rofl文件离线都无法打开