本文共 448 字,大约阅读时间需要 1 分钟。
HttpOnly 最早是由微软在 IE6 中实现的,现在已成为标准 。 浏览器会禁止页面中的 JavaScript 访问带有 HttpOnly 属性的 Cookie。 目的很明显,就是为了应对 Cookie 劫持攻击。
Cookie 使用过程是这样的:
在 Java EE 中,可以这样为 Cookie 加入 HttpOnly 标识:
response.setHeader("Set-Cookie","deniro=1; Path=/;Domain=www.deniro.net;" + "Max-Age=30;HTTPOnly");
如果没有加 HttpOnly 标识,就会被 JS 检测到:
用于认证的关键 Cookie,建议都加上 HttpOnly 标识。
转载地址:http://zbccf.baihongyu.com/