0

我们httpOnly在 web.xml 文件中设置参数 true 以防止在客户端创建 cookie。这导致读取 cookie 值。我们使用以下方式读取 GWT 中的 JSESSIONID cookie。

Cookie.getCookie("JSESSIONID");

这返回未定义。如果我删除Httponly=trueweb.xml 中的属性,它的工作正常并返回一个 cookie。

任何人都可以建议一种使用 HttpOnly true 获取 cookie JSESSIONID cookie 的方法。

4

1 回答 1

2

HttpOnly不是你想的那样。它的唯一目的是告诉浏览器明确不要将 cookie 暴露给脚本,而只在 HTTP 级别使用它。

没有什么可以阻止客户端伪造 cookie。有几种方法可以通过所谓的会话固定攻击来防止跨站点请求伪造 (CSRF),但HttpOnly不是其中之一。HttpOnly有助于跨站点脚本 (XSS),因此如果页面包含恶意的第 3 方脚本,它无法读取 cookie 以将其发送到第 3 方服务器——可能稍后将其用于会话固定攻击,但是只有当您的网站容易受到攻击时,才有可能这样做——。

于 2012-11-30T14:05:06.750 回答