浅入分析常见语言中设置 HttpOnly 的方法

一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时 候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

如果你正在使用的是兼容 Java EE 6.0 的容器,如 Tomcat 7,那么 Cookie 类已经有了 setHttpOnly 的方法来使用 HttpOnly 的 Cookie 属性了。

cookie.setHttpOnly(true);

设置完后生成的 Cookie 就会在最后多了一个 ;HttpOnly

另外使用 Session 的话 jsessionid 这个 Cookie 可通过在 Context 中使用 useHttpOnly 配置来启用 HttpOnly,例如:

<Context path="" docBase="D:/WORKDIR/webapp"
reloadable="false" useHttpOnly="true"/>

也可以在 web.xml 配置如下:

<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<session-config>

对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly

<httpCookies httpOnlyCookies="true" …>

而程序的处理方式如下:

C#:

HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);

VB.NET:

Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

.NET 1.1 只能手工处理:

Response.Cookies[cookie].Path += ";HttpOnly";

PHP 从 5.2.0 版本开始就支持 HttpOnly

session.cookie_httponly = True

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 这个漏洞是因为导出service,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意启动或者停止服务,应用会产生拒绝服务等问题。 如果它们只被同一个软件中的代码调用,将service属性改为android:exported=”false”,如果组件需要对外暴露,应该通过...
  • FTP是有两种传输的模式的,主动模式和被动模式,很多的朋友可能比较陌生或是多数是不清楚之间的差异。 一个完整的FTP文件传输需要建立两种类型的连接,一种为文件传输下命令,称为控制连接,另一种实现真正的文件传输,称为数据连接。 1)      控制连接 客户端希望与FTP服务器建立上传下载的数据传输时...
  • 首先问了这个问题,那肯定是对微软提供的驱动的一种不信任。是的,在国内,很多用户的电脑知识起点晚,且专家之多,媒体之多,导致此类不信任的发生。当然不排除有些用户是真的因为微软提供的驱动出了问题而质疑的。 微软提供的驱动一般是驱动方提供给微软,并通过了微软严格的兼容性测试的,所以这类驱动从本质上看是相当...
  • Hyper-V虽然是企业版操作系统内置的虚拟化平台,但是对于Linux文件共享却有着一些头疼。怎么解决共享问题,我们其实可以考虑利用ftp技术来间接地满足。 首先打开终端,安装vsftpd: atp-get install vsftpd 安装完之后可以使用: vsftpd -v 查看版本,是否安装成...
  • Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务。请求的拦截和修改、扫描web应用程序漏洞、以暴力破解登陆表单、执行会话令牌等多种的随机性检查。 1.代理。Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理可以截获并修改从客户端到web...
微信扫一扫即可带走我!