说说 Cookie 的 HttpOnly 属性
本文共 448 字,大约阅读时间需要 1 分钟。
HttpOnly 最早是由微软在 IE6 中实现的,现在已成为标准 。 浏览器会禁止页面中的 JavaScript 访问带有 HttpOnly 属性的 Cookie。 目的很明显,就是为了应对 Cookie 劫持攻击。
Cookie 使用过程是这样的:
- 浏览器首次向服务器发起请求。
- 服务器响应时,会发送 Set-Cookie 响应头;浏览器会把这个头写入 Cookie。
- 在 Cookie 到期前,浏览器访问该域下的所有请求,都会带上这个 Cookie。
在 Java EE 中,可以这样为 Cookie 加入 HttpOnly 标识:
response.setHeader("Set-Cookie","deniro=1; Path=/;Domain=www.deniro.net;" + "Max-Age=30;HTTPOnly"); 如果没有加 HttpOnly 标识,就会被 JS 检测到:
用于认证的关键 Cookie,建议都加上 HttpOnly 标识。
转载地址:http://zbccf.baihongyu.com/
你可能感兴趣的文章
vue 插件 之 生成二维码 qrcodejs2
查看>>
javascript 之 获取毫秒时间戳
查看>>
python 环境搭建无坑
查看>>
python 配置web自动化测试框架 selenium
查看>>
python 自动化测试 selenium 框架 - 1
查看>>
html 导出 excel -- 1
查看>>
html 导出 excel 设置单元格文本格式 -- 2
查看>>
html 导出 excel 单元格合并 --3
查看>>
javascript 时间格式在iphone上的兼容问题 亲测有用 无坑点
查看>>
git 环境配置
查看>>
git 报 Incorrect username or password (access token)
查看>>
git 推送代码到远程仓库
查看>>
Android studio 安装 无坑
查看>>
android 禁止横屏 横竖屏问题
查看>>
git 报错 destination path already exists and is not empty director
查看>>
html 各种布局整理 -- 1
查看>>
vue 项目 之 移动端周边商城 【0项目搭建】
查看>>
vue 项目 之 移动端周边商城 【1底部导航】
查看>>
angular 环境搭建 无坑
查看>>
echarts之 雷达图的使用 1
查看>>