之前在做c#项目和vue项目通信遇到一个bug,就是cookie的httponly打包前能够起作用,打包后项目的httponly打钩,浏览器会报跨域错误.
2条回答 默认 最新
十五喵 2023-08-23 22:51关注1.什么是HttpOnly?
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
2.HttpOnly的设置样例
response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
例如:
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。
Cookie cookies[]=request.getCookies();
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2020-09-17 14:29回答 1 已采纳 https://blog.csdn.net/chen_fuming/article/details/17802051
- 2014-02-02 12:54回答 1 已采纳 Laravel provides an option for this, but the docs don't show it. The best way is to look through t
- 2018-05-18 06:17回答 1 已采纳 Hope this will help you : Try Using Array Method (Alternative), an associative array is passed to
- 2023-06-27 15:11Jeanfo的博客 将 Cookie 的httpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户...
- 2020-10-30 10:23回答 2 已采纳 你的配置不对 ``` server.servlet.session.cookie.http-only ``` 对于springboot的正确配置,你可以参考 [https://prop.spr
- 2023-02-07 16:36回答 1 已采纳 你可以看下这个问题的回答https://ask.csdn.net/questions/7663008你也可以参考下这篇文章:Cookie跨域问题的解决
- 2015-01-09 19:04回答 1 已采纳 You can disable session cookies for the whole application by changing the session driver to array
- 2023-05-21 20:24例如,site1.domain.com和site2.domain.com可以通过设置Cookie的Domain属性为顶级域名"domain.com",使得所有二级域名都能访问到身份验证的Cookie。在服务器端验证这个Cookie即可完成身份验证。 ```csharp ...
- 2016-05-07 00:00回答 1 已采纳 cookie := http.Cookie{Name: "_c_id_", Value: "abcd", Path: "/", HttpOnly: true, Secure: false} se
- 2022-05-09 23:01回答 2 已采纳 因为后台给的cookie中携带有httpOnly这个属性,设置了该属性的cookie会被浏览器禁止JavaScript去读取操作他就以我当前页面为例。我的页面中有cookie为_ga和_tc_unio
- 2014-07-29 05:22回答 1 已采纳 First thing, you should enabled debug mode in your application (Configure::write('debug', 2)), or
- 2022-01-19 08:25pingan8787的博客 廖宜康,Happy every day 前端开发工程师!前言作为前端开发,cookie是我们经常需要打交道的东西。我们用它来鉴权,用它来实现行为跟踪,用它给无状态的 http 协议以“状态...
- 2017-06-03 06:50回答 1 已采纳 No it is not required, but if you DO NOT use it the path used to find the file will include the pr
- 2020-12-18 18:50- **使用HTTPOnly Cookie**:设置Cookie的HTTPOnly属性,防止JavaScript代码访问Cookie,减少XSS攻击的风险。 总结: 在PHP中处理HTTP和HTTPS跨域Session时,开发者需要手动管理Session ID的传递,同时关注安全问题...
- 2021-06-11 12:30余楚客的博客 单选框用的value 和复选框一样4.下拉菜单用的value 是列表中每个子项的值5.隐藏域用的value 是框里面显示的内容在后台如果你想得到复选框的内容 就是value 来取当你在接收表单数据的页面中获取数据时,得到的就是...
- 2019-03-08 15:31在编程中,可以根据不同的语言和框架设置和操作Cookie。例如,在Java中使用`javax.servlet.http.Cookie`类来操作Cookie,可以设置其名称、值、有效期等。在JavaScript中,通过`document.cookie`属性可以读写Cookie,...
- 2022-01-28 10:46YvetteLau的博客 廖宜康,Happy every day 前端开发工程师!前言作为前端开发,cookie是我们经常需要打交道的东西。我们用它来鉴权,用它来实现行为跟踪,用它给无状态的 http 协议以“状态...
- 2020-03-12 02:55- 如果是代码示例,可能使用JavaScript或其他编程语言实现,通过解析HTTP头部或直接使用浏览器API获取Cookie。 - 工具可能提供图形界面,只需输入网址或导入网页历史记录,即可自动提取Cookie。 请注意,非法或...
- 2024-08-22 19:24西门吹雪在编程的博客 通过深入理解Set-Cookie的工作机制和属性,开发者可以创建出更安全、更高效的 Web 应用,同时为用户提供更好的体验。这个工具的精妙之处在于它的灵活性,可以适应不同场景下的需求,从而在各种复杂的 Web 开发项目中...
- 2020-10-24 11:42JavaScript作为浏览器端的主要编程语言,能够对Cookie进行操作,包括设置、读取和删除等。 ### JavaScript操作Cookie类知识点详解 #### 一、JavaScript操作Cookie类的实例用法 1. **设置Cookie** 在JavaScript...
- 没有解决我的问题, 去提问
问题事件
系统已结题
8月31日
已采纳回答
8月23日-
创建了问题
8月22日
悬赏问题
- ¥15 c#转安卓 java html
- ¥15 os.listdir文件路径找不到
- ¥15 使用gojs3.0,如何在nodeDataArray设置好text的位置,再go.TextBlock alignment中进行相应的改变
- ¥15 psfusion图像融合指标很低
- ¥15 银河麒麟linux系统如何修改/etc/hosts权限为777
- ¥50 医院HIS系统代码、逻辑学习
- ¥30 docker离线安装mysql报错,如何解决?
- ¥15 构建工单的总账影响在哪里查询或修改
- ¥15 三个简单项目写完之后有重赏之后联系我
- ¥15 python报内存不能read错误