如何获取httpOnly (安全) cookies?
获取httpOnly (安全) cookies的方法是通过服务器端设置。httpOnly是一种cookie属性,它可以防止客户端(如浏览器)通过JavaScript访问cookie,从而提高了cookie的安全性。
要获取httpOnly cookies,可以按照以下步骤进行:
- 在服务器端设置httpOnly属性:在生成cookie时,将httpOnly属性设置为true。具体设置方法取决于所使用的编程语言和框架。例如,在Node.js中,可以使用
httpOnly: true选项来设置httpOnly属性。 - 通过HTTP请求获取cookies:在客户端发送HTTP请求时,服务器会在响应头中包含Set-Cookie字段,其中包含了httpOnly cookies的值。可以通过解析响应头来获取这些cookies。
- 在后续的请求中发送cookies:在后续的HTTP请求中,需要将获取到的httpOnly cookies值添加到请求头的Cookie字段中,以便服务器能够识别和验证用户身份。
需要注意的是,由于httpOnly cookies的安全性设计初衷是防止客户端通过JavaScript访问,因此无法直接通过JavaScript代码获取httpOnly cookies的值。这是为了防止恶意脚本窃取用户的敏感信息。
推荐的腾讯云相关产品:腾讯云Web应用防火墙(WAF)。腾讯云WAF可以帮助保护网站和应用程序免受常见的Web攻击,包括对httpOnly cookies的保护。您可以通过配置WAF规则来阻止恶意请求并保护您的httpOnly cookies。了解更多信息,请访问腾讯云WAF产品介绍页面:腾讯云WAF。
相关·内容
我想知道如何在Codeigniter中将cookies设置为HTTPOnly。我查看了文档,没有看到如何设置此标志。
我还希望为cookies设置安全标志,并在config.php文件中找到了它:
$config['cookie_secure'] = TRUE;
但是在config.php中没有HTTPOnly选项。
如何将所有cookies设置为HTTPOnly?如果它是在框架中完成的,那么知道代码在哪里对我自己的学习(以及默认值是什么)将是有帮助的。
浏览 3提问于2012-05-10得票数 13
回答已采纳
在我的ASP.NET Web应用程序中,我通过向web.config添加以下条目,对ASP.NET_SessionID和.ASPXAUTH Cookies进行了以下更改,以确保web.config的安全
<httpCookies httpOnlyCookies="true" requireSSL="true" />
并添加以下标记
<forms requireSSL ="true" />
但我在这里的问题是,从服务器接收到的Cookies (Network->Cookies->Direction有一个接收值)
浏览 2提问于2014-10-18得票数 7
回答已采纳
我已经将Apache服务器配置为使用代理解析器(也使用反向代理)与tomcat通信,该解析器为Apache服务器而不是tomcat服务器启用了ssl。当我添加
Header set Set-Cookie HttpOnly;Secure
对于httpd.conf,我可以通过代理解析器向tomcat发送请求,但是从tomcat我不能向Apache发送请求。
我已经在tomcat和Apache服务器中启用了cookies。
在将cookies设置为httponly和secure之前,它可以正常工作。当将cookies设置为secure和httponly时,我可以从开发人员工具中看到,请求和响应
浏览 0提问于2014-01-11得票数 0
我们将在下一个js应用程序中调用。
后端团队将响应cookie设置为安全HttpOnly cookie。
const session = await (
await fetch(
`https://demo.com/auth/session`,
requestOptions
)).json();
console.log("cookies",ctx?.req?.headers?.cookie);
后端cookie代码
Set-Cookie: id=a3fWa; Expires=Thu, 21 Oct 2021 07:28:00 GMT; Secur
浏览 9提问于2022-05-25得票数 0
我已经在代码中设置了一个cookie。我只想给它添加一个标志{httponly: true}。我试过使用merge方法,但是说合并不能应用于字符串时会出错。然后我尝试使用这个cookies[:riko_added_http_only] << '; HttpOnly',但是我在浏览器cookie中看到cookie不是httponly。
因此,问题是在已经分配了一些值之后,如何添加/修改cookie属性或标志(如httponly或secure)?
以下是一些例子:
cookies[:riko_added_http_only] = {
value: &
浏览 0提问于2019-05-28得票数 0
1回答
在localStorage中存储JWT安全吗?问题是,我尝试在httpOnly设置为true的情况下将JWT存储在NodeJS中的cookie中。但问题是,我无法使用通用cookie访问reactJS中的cookie。httpOnly设置为true的nodeJS生成的cookies不能在ReactJS客户端上访问,这是真的吗? 那么,在localStorage中存储JWT是安全的吗?或者,由于令牌秘密,它是完全安全的? 非常感谢,非常感谢。
浏览 15提问于2020-11-23得票数 2
回答已采纳
我正在做一个chrome扩展,我不知道如何获取所有的cookie,因为出于某种原因,我无法访问HttpOnly和session扩展,而且document.cookie显然没有为我提供httponly和session扩展,所以我想知道我如何才能做到这一点。
我有这个代码:
“权限”:"activeTab","webRequest","cookies“
为了从当前网站获取所有cookie,包括httponly和session,我写道:
var cock = "";
chrome.cookies.getAll({"url"
浏览 0提问于2016-03-11得票数 0
我们的一个客户对我们的应用程序进行了渗透测试,并报告在使用cookies时丢失了标志。
在设置cookie时,我们应该始终使用httpOnly和secure标志。
经过一些测试后,我意识到cookies在设置时实际上正在使用这个标志,但有一个例外:注销。
注销时,某些cookie设置了过期日期,如要删除该cookie,则未使用secure和httpOnly。
这是否存在安全风险?设置过期cookie时设置这些标志有意义吗?
浏览 7提问于2013-07-26得票数 2
我想创建访问者页面
private readonly DBDatacontext _db;
private RequestDelegate _requestDelegate;
public VisitorMiddleWare(RequestDelegate requestDelegate, DBDatacontext db)
{
_requestDelegate = requestDelegate;
_db = db;
}
public async Task InvokeAsync(HttpContext context)
{
string visitorId =
浏览 3提问于2020-04-01得票数 2
1回答
早上好,大家好。
我有一个与HttpOnly相关的问题,有没有一种方法或工具,我们可以知道我们的Cookies有标志(S)安全,HttpOnly?
谢谢
浏览 0提问于2018-05-09得票数 0
1回答
我正在使用一个第三方授权API,它需要多个API调用,并且需要在MERN堆栈中的每个调用中更新会话令牌。 在执行第一个调用时,我可以在Network > cookies下看到需要为相应调用返回的Cookie。我还可以在Network > header下看到调用的相关set-cookie头。cookies标记为HttpOnly且安全。据我所知,这意味着我不能使用javascript访问这些cookies,它们也不会存储在document.cookie中。但是,我需要在第二个API请求中的第一个调用的响应中使用这些cookie。 如何在第二个请求中使用第一个接口响应HttpOnly
浏览 18提问于2020-03-20得票数 1
1回答
我用Pullreview来查看我的应用程序。它想出了一个安全通知:
使用会话cookie是安全的
在这一行: Myapp::Application.config.secret_key_base = 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX‘
“如何修复”段建议我应该将其修改为类似于以下内容:
cookies['user_name'] = { value: 'david', httponly: true }
我尝试添加花括号,但它返回了一个错误。
那么,如何将"httponly: true“值赋给"Myapp:
浏览 3提问于2014-03-04得票数 0
我们目前正在尝试转换一些遗留应用程序。在开发过程中,我们遇到了许多安全cookie的问题。虽然这肯定在我们的待办事项清单上,但它正在停止其他功能的工作。我们希望能够在开发环境中设置cookie,以便当我们通过HTTP访问站点时,它使用不安全的cookie,但是如果它们通过HTTPS到达站点,则使用安全cookie。我们正在尝试使用IIS重写来完成这一任务。我嘲弄了这个:
<rewrite>
<outboundRules>
<rule name="Enable secure Cookies {ProjectName}" pre
浏览 18提问于2022-03-02得票数 0
回答已采纳
2回答
现在,cookies可以有HTTPOnly、Secure和SameSite标志。HTTPOnly和安全标志的用途非常清楚。但是,SameSite脚本到底防止了什么,以及如何防止呢?
此外,当不使用SameSite标志时,成功的“攻击”或“误用”的场景会是怎样的呢?
浏览 0提问于2017-03-16得票数 18
回答已采纳
2回答
我正在使用cookie来处理最重要的细节,比如令牌。他们是安全的和httpOnly。我还有几个细节要在客户端保存。比如,一旦用户登录,我就会存储userType (customer欧元内部用户)和一些设置为true/false的标志。我将这些附加细节存储在本地存储中,因为它们正被客户端用于一些基本任务。将他们转移到Cookies保存他们的httpOnly : false (因为浏览器JS只能访问没有httpOnly的cookie)是个好主意吗?
浏览 1提问于2021-02-16得票数 0
回答已采纳
在成功地通过WPF WebRequest控件登录到受保护的web门户后,我尝试将WebBrowser构建到网页上,但仍然遇到了在WebRequest中重用WebBrowser cookies的问题。
与WinForms不同,在WPF WebBrowser控件中,无法通过WebBrowser.Document.Cookies提取CookieCollection,因为Document对象没有Cookies属性。我发现的唯一方法是使用mshtml.HTMLDocument2,它有cookie作为字符串。
mshtml.IHTMLDocument2 doc = (mshtml.IHTM
浏览 6提问于2009-08-16得票数 4
我使用cookie来存储值,在向cookie中添加数据时,我已经使用cookie.secure对其进行了安全保护,但是当我试图使用Request.Cookies"Key".Value获取cookie值时,它会引发异常,因为Request.Cookies"Key“是null.If,我删除了cookie.secure,它正在工作,请帮助我阅读用于存储和保护cookie的安全cookie value.Following代码。
HttpCookie strcookie = new HttpCookie("Key");
strcookie.Value =
浏览 4提问于2015-04-03得票数 1
1回答
出于测试目的,我必须在成功通过身份验证后立即检索HttpOnly和安全cookies。正如预期的那样,ClientFunction(() => document.cookie)不起作用。因为TestCafe是一个代理,所以应该有一种方法来访问这种cookies。我该怎样走?
浏览 76提问于2020-01-29得票数 0
我构建了一个显示GitHub存储库的简单应用程序。这是应用程序的链接:https://wemake-services-test-client.herokuapp.com (首先,您需要向GitHub进行身份验证)。在我看来,fetch不会发送httpOnly cookies。点击[登录],打开控制台: Console Snapshot 路由‘/ httpOnly’的后端处理程序设置登录cookie: import { Request, Response } from 'express';
import { createOAuthAppAuth } from '@oct
浏览 37提问于2021-08-04得票数 0
我有一些与我的项目有关的问题。我正在尝试创建一个安全的登录页面,并且我在会话中遇到了问题。
1)。我可以包括每个文件的session.php吗?安全吗?
login.php:
<?php
require_once('session.php');
//all code
?>
session.php:
<?php
$session_name = '...';
$secure = false;
$httponly = true;
ini_set('session.use_only_cook
浏览 1提问于2013-09-15得票数 0
回答已采纳
3回答
如何获得cookies params?"expire,secure,httponly“等。
有可能吗?
浏览 0提问于2010-07-04得票数 6
回答已采纳
我的应用程序中有cookie,我需要使用angularJS ngCookies读取它。当我从浏览器扩展导出cookie时,它看起来像下面的json:
[
{
"domain": "localhost",
"hostOnly": true,
"httpOnly": false,
"name": "JSESSIONID",
"sameSite": "no_restriction",
"secure": t
浏览 0提问于2016-10-26得票数 3
全面警告信息:
A cookie associated with a resource at http://127.0.0.1/ was set with `SameSite=None` but without `Secure`. A future release of Chrome will only deliver cookies marked `SameSite=None` if they are also marked `Secure`. You can review cookies in developer tools under Application>Storage>
浏览 0提问于2020-05-29得票数 0
回答已采纳
1回答
在我的项目中,在某些地方,我需要通过javascript创建cookie。我试图编写一个非常解耦的进程,最终得到了一个symfony服务,如下所示:
<?php
namespace Evo\SecurityBundle\Service;
use Symfony\Component\HttpFoundation\Response;
class Cookie
{
/**
* @var
*/
protected $cookiesParams;
/**
* Constructor
*
* @param $cooki
浏览 1提问于2015-03-10得票数 1
我们的站点是SSL安全站点,Magento“安全”和“不安全”URL变量都指向https:// URL。然而,PCI审计表明cookies是不安全的。当Cookie通过页面标题中的Set-Cookie创建时,他们希望看到'secure‘关键字。
我看到Magento在\shop\app\code\core\Mage\Core\Model\Cookie.php中使用这个函数
if (is_null($secure)) {
$secure = $this->isSecure();
}
if (is_null($httponly)
浏览 5提问于2014-11-07得票数 6
回答已采纳
我需要将HttpOnly添加到我的PrimeFace项目的所有cookie中。 我已尝试通过web.xml web.xml设置cookies 但是,在layout.js poseidon_expandeditems上创建的cookie会创建两次,一次使用HttpOnly标志,另一次不使用该标志。 如何将项目中创建的所有cookies都设置为具有HttpOnly?
浏览 16提问于2020-08-15得票数 2
安全cookie标志阻止通过HTTP发送cookie。HTTPOnly标志阻止JavaScript访问cookies。
只有HTTPS的站点总是使用安全和HTTPOnly cookie,这是一个现实的指导原则吗?HTTPS和HTTP混合站点呢?缺点是什么?
显然,如果您需要HTTPS和HTTP页面上的cookie,以及您的站点的JavaScript访问权限,您就不能使用这些标志,但是一个设计良好的站点是否需要这样做呢?
浏览 2提问于2015-11-19得票数 4
回答已采纳
如下图所示,字典确实包含一个属性为"name“的cookie。由于某种原因,代码曾经工作过一次,现在每次运行时都会抛出此错误:
File "/Users/me/Documents/Programming/browzine/last draft.py", line 201, in <lambda>
cookie_list = list(map(lambda h: h.name+'='+h.value+'; ', driver.get_cookies()))
AttributeError: 'dict' o
浏览 4提问于2021-12-01得票数 0
回答已采纳
如何为GA cookies _ga & _gid设置httponly标志?尝试将session.cookie_httponly设置为php.ini中的true,但无法在cookie中实现httponly为true。
浏览器信息
php信息
浏览 0提问于2020-09-21得票数 2
我是NGINX新手,需要指导。
secure和httponly flags可以添加到Response cookies上吗?
下面是我添加到nginx配置文件中的代码:
proxy_cookie_path / "/iwc; secure; HttpOnly";
但是,HTTP和secure列在chrome上的目标响应cookie仍然是未检查的。
提前感谢!
浏览 6提问于2017-06-15得票数 0
我使用java创建了带有HTTPOnly标志的Safari浏览器中的cookies -参见下面的响应头。
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer:http://anil.mlbextrabases.com/SafariIssue/
User-Agent:Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
Query
浏览 0提问于2018-08-08得票数 10
嗨,到目前为止,我正在尝试使用httponly cookies,这是我写的代码
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
resp.setContentType("text/html");
PrintWriter out = resp.getWriter();
Cookie cookie = new Cookie("mycookie", "
浏览 2提问于2012-04-16得票数 1
回答已采纳
我需要在我的web.api生成的所有cookie上更改HttpOnly和安全标志。
为此,我添加了一个全局过滤器,用于修改来自web.api的每个响应。我已经有使用PreSendRequestHeaders事件在IIS中完成此操作的代码,但这在自托管时不起作用。
我需要更改的cookie是会话和表单身份验证cookie。httponly标志不是主要问题,当我们进行SSL卸载时,安全标志才是问题所在,因此它不会自动设置为安全。
我可以使用HttpResponseHeadersExtensions添加cookies,但我看不到任何更新现有cookies的内容。
我希望避免手动解析set-cooki
浏览 1提问于2013-05-14得票数 1
当我试图从json导入cookie到selenium时,我得到了错误的selenium.common.exceptions.InvalidArgumentException: Message: invalid argument: invalid 'sameSite'
为什么会发生这个问题,我该如何解决呢?编辑:这是我的代码
from selenium import webdriver
cookies = [
{
"domain": ".facebook.com",
"hostOnly": False,
&
浏览 0提问于2020-05-26得票数 0
1回答
我有一个JWT令牌,我想将其存储在cookie中。cookie至少需要设置HttpOnly标志,但我也希望将安全标志设置为true。
从angular文档中,我知道我可以将令牌存储在cookie中,如下所示:
// using 'ngCookies'
createToken(jwt_token) {
$cookies.put('jwt', jwt_token);
},
retrieveToken() {
return $cookies.get('jwt');
}
但是不清楚如何指定HttpOnly和Secure标志。对于put(
浏览 4提问于2015-05-11得票数 7
1回答
我正在我的web应用程序中实现CSRF保护。
我使用org.springframework.security.web.csrf.CookieCsrfTokenRepository类生成XSRF令牌。此令牌将作为cookie发送到每个请求的响应中。
UI组件是部署在不同服务器上的单个页面应用程序,它读取此cookie并从cookie读取XSRF令牌,并在所有后续请求中将其设置为标头。
Spring验证接收到的XSRF令牌,并允许/拒绝请求。这个很好用。
但是它们是一个约束,这个XSRF必须是httpOnly是false,这样客户端JavaScript就可以读取它。
我们无法读取httpOnly为
浏览 0提问于2019-04-18得票数 0
回答已采纳
我有一个使用https协议与服务器通信的角Js应用程序。我使用cookie来存储已登录的用户名和jwt令牌。下面是我用来设置cookie的代码。
$cookies.putObject('token', token, {
expires: exp,
secure: true
});
为了从Security获得应用程序的权限,我需要为cookie设置HttpOnly标志。
当我打开我的网站的曲奇时,我看到两个项目。
connect.sid --不确定这是如何创建的。我不会做任何明确的事情来创建这个cookie。
token
浏览 3提问于2017-06-01得票数 2
我需要在测试期间清理会话cookie。我看不出有什么办法能把它写成文档。目前,我设法到达了core.browser.Manage().Cookies,这是一个OpenQA.Selenium.Remote.RemoteCookieJar,但我不知道如何使用它删除cookie。另外,读取httponly cookie的cookie值也是我需要做的事情。
浏览 3提问于2014-05-15得票数 4
回答已采纳
我对Testcafé很陌生,需要从网站上获取所有Cookies,将它们存储在一个对象或Array中,然后查看Cookie与Strings数组的匹配名称,看看是否设置了一些Cookies;这需要在类型记录中完成;在纯Javascript中会更容易,但这就是要求。
为了实现这一点,我使用Cookies中需要的所有属性实现了一个接口:
class CookieInterface {
static getName: string;
constructor(domain: string, name: string, expirationDate: bigint,hostOnly: bo
浏览 6提问于2021-07-06得票数 1
回答已采纳
1回答
我在创建HttpOnly cookie时遇到问题,我使用以下代码来创建新cookie:
//A.aspx
HttpCookie ht = new HttpCookie("www");
ht.Value = "www";
ht.Name = "www";
ht.HttpOnly = true;
ht.Expires = DateTime.Now.AddDays(1);
Response.AppendCookie(ht);
Response.Redirect("B.aspx
浏览 0提问于2011-05-01得票数 2
1回答
跨域共享会话
、、、
好的..。我有两个域example.com和example.net,它们共享相同的代码空间和会话。问题是,当用户更改语言时,当发生这种情况时,所有会话数据都丢失了,因此应该更改域。我想在此之前执行ajax调用,这样我就可以更改会话了。下面是用于初始化会话的代码。
<?php
/* This method is invoked */
public function start($session_id = '', $key = 'default') {
if (!session_id()) {
ini_
浏览 0提问于2018-03-23得票数 1
回答已采纳
我正在尝试将cookie添加到我的python http请求中,如下所示: {
"domain": ".foo.com",
"hostOnly": false,
"httpOnly": false,
"name": "name",
"path": "/",
"sameSite": null,
"secure": false,
"session": tru
浏览 35提问于2021-09-30得票数 0
回答已采纳
在读了杰夫在上的博客文章后。我想在我的web应用程序中实现HttpOnly cookies。
你如何告诉tomcat在会话中只使用http cookie?
浏览 0提问于2008-08-28得票数 77
回答已采纳
3回答
我的PHP会话是随机过期的,很少超过大约5分钟(300秒)。
我在这里尝试使用PHP & MySQL登录脚本: (下面提取的sec_session_start函数)。
function sec_session_start() {
$session_name = 'sec_session_id'; // Set a custom session name
$secure = false; // Set to true if using https.
$httponly = true; // This stops javascript being a
浏览 0提问于2012-11-06得票数 1
回答已采纳
2回答
如何在前端使用RESTful API作为后端并由JSON令牌(JWT)授权,我们如何处理会话?例如,登录后,我从REST获得一个JWT令牌。如果我将它保存到localStorage中,我很容易受到XSS的攻击,如果我将它保存到cookie中,除了我将cookie设置为HttpOnly之外,还会出现相同的问题,但是React不能读取HttpOnly cookies (我需要读取cookie来从中获取JWT,并使用这个JWT来处理REST请求),我也没有提到跨站点请求伪造(CSRF)问题。如果使用REST作为后端,则不能使用CSRF令牌。
因此,用REST做出反应似乎是一个糟糕的解决方案,我需要重
浏览 4提问于2017-08-28得票数 77
回答已采纳
因此,我对通过JWT授权的正确方法有些困惑,我知道一种常见的方法是,您可以使用授权头来验证它,如下所示:
const verifyToken = (req, res, next) => {
const authHeader = req.headers.token;
if (authHeader) {
const token = authHeader.split(" ")[1];
jwt.verify(token, process.env.JWT_KEY, (err, user) => {
if (err) {
re
浏览 5提问于2021-12-10得票数 2
如何将从Webbrowser到Indy CookieManager的cookie用于Http请求。
当我登录到这样一个网站后,我就得到了饼干。
测试项目=
procedure TForm1.WebBrowser1DownloadComplete(Sender: TObject);
var
document: IHTMLDocument2;
cookies:tstringlist;
begin
cookies:=tstringlist.Create;
document := WebBrowser1.Document as IHTMLDocument2;
cookies.Add(document
浏览 2提问于2012-11-05得票数 1
回答已采纳
1回答
我对cookies中的HTTPOnly属性有一点困惑。我知道它的主要用途是防止XSS攻击。让我们假设有一个web应用程序已经为cookie设置了httponly。为此,我使用了像Fiddler这样的拦截代理。但是在所有随后的事务中,cookie没有伴随着httponly标志。这是不是像设置一次就会覆盖整个会话的特性?只有flag...or是一个实现缺陷吗?但同样,当通过cookie管理器插件进行监控时,属性显示httponly已启用。我的问题是,如果启用了,为什么cookie管理器显示启用了它,而不是拦截代理,这是正常的预期行为还是错误的实现。请帮我理解一下。
浏览 2提问于2012-05-22得票数 2
回答已采纳
1回答
我的XML数据包含以下内容:
<Cookies>
</Cookie>
<Cookie name="PD_STATEFUL_2707f5b6-48e3-11e8-bb87-000c2953888d">
<Value>%2Fportal</Value>
<Path>/</Path><Domain></Domain><Expires></Expires><Secure>0</Secure>
浏览 0提问于2018-05-02得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
