HttpOnly Cookie 怎么讲

Posted 2023-05-04

参考技术A HttpOnly 是加在cookies上的一个标识，用于告诉浏览器不要向客户端脚本（document.cookie或其他）暴露cookie。 HttpOnly 背后的相关议题是：当网站存在 跨站脚本攻击（XSS） 漏洞时,黑客通过执行脚本获得cookie时被阻止，从而在根本上杜绝这种类型的攻击。
当你在cookie上设置 HttpOnly 标识后，浏览器就会知会到这是特殊的cookie,只能由服务器检索到，所有来自客户端脚本的访问都会被禁止。当然也有前提：使用新版的浏览器。
HttpOnly Cookie 最初由 Microsoft’s Internet Explorer 6 SP1引入，至今为止，已是设置会话cookie的最佳实践了。
其语法如下：

在上面的HTTP请求头中， HttpOnly 知会浏览器在保存cookie，但不要向客户端脚本开放访问权限。

另外还有一个安全标识可以强制浏览器发送cookie的时候采用安全通道，比如 HTTPS ,可以防止被监听。尤其是在HTTPS连接被一些工具（比如SSLStrip等）降级到HTTP。
该语法为：

在这个HTTP头信息中， Secure 标识知会浏览器使用安全的加密通道发送cookie。

原文： https://latesthackingnews.com/2017/07/03/what-is-httponly-cookie/

XSS - 禁止浏览器读取Cookie - HttpOnly

1.什么是HttpOnly?

如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击，具体一点的介绍请google进行搜索。

 

C# 

HttpCookie myCookie = new HttpCookie("myCookie");  

myCookie.HttpOnly = true;  

Response.AppendCookie(myCookie);

javaee

response.setHeader("Set-Cookie", "cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");