1.什么是HttpOnly?
?
如果您在cookie中設置了HttpOnly屬性,那么通過js腳本將無法讀取到cookie信息,這樣能有效的防止XSS攻擊
具體一點的介紹請google進行搜索
2.javaEE的API是否支持?
?
目前sun公司還沒有公布相關的API,但PHP、C#均有實現。搞javaEE的兄弟們比較郁悶了,別急下文有變通實現
?
3.HttpOnly的設置樣例
?
javaEE
- response.setHeader( "Set-Cookie" ,?"cookiename=value; ??
- Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");??
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
?
具體參數的含義再次不做闡述,設置完畢后通過js腳本是讀不到該cookie的,但使用如下方式可以讀取
?
- Cookie?cookies[]=request.getCookies();??
Cookie cookies[]=request.getCookies();
?
C#
- HttpCookie?myCookie?=? new ?HttpCookie( "myCookie" ); ??
- myCookie.HttpOnly?=? true ; ??
- Response.AppendCookie(myCookie);??
HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);
VB.NET
- Dim?myCookie?As?HttpCookie?=?new?HttpCookie( "myCookie" ) ??
- myCookie.HttpOnly?=?True ??
- Response.AppendCookie(myCookie)??
Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)
?? 但是在 .NET 1.1 ,中您需要手動添加
Response.Cookies[cookie].Path += ";HTTPOnly";
PHP4
- header( "Set-Cookie:?hidden=value;?httpOnly" );??
header("Set-Cookie: hidden=value; httpOnly");
PHP5
- setcookie( "abc" ,? "test" ,?NULL,?NULL,?NULL,?NULL,?TRUE);???
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
??? 最后一個參數為HttpOnly屬性
?
?
參考
- <STRONG><STRONG>http: //www.owasp.org/index.php/HTTPOnly</STRONG> ??
- </STRONG>??
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
