问题标签 [cookie-httponly]

cookie_httponly如果我在 PHP 中设置选项，flash 会不会有问题？

Flash 是否仍会通过会话向其发送 POST 请求？

我知道这是您可以轻松尝试的东西，但我对 Flash 了解不多，我担心我可能会破坏某些东西。

所以我正在使用 php 4 中的这个遗留应用程序。我正在尝试设置 httponly 标志和安全标志。

这是我的代码：

安全标志已设置，但 httponly 未设置。

会不会是因为 URL 使用了 https 协议？

编辑：另外，过期字段是否需要几秒钟。现在，$expireSeconds=14400; 如果它不期望秒作为参数，我该如何修改代码来纠正这个问题。

这是一个设置 cookie 的函数：

我相信 servlet 3.0，有办法直接做到这一点。不幸的是，我的组织使用 2.5，此时升级不是一种选择。

有没有办法使用响应来设置cookie？这是我在网上找到的一个例子

如果这是做我想做的唯一方法，我会用什么替换“[SOME STUFF]”，这样我就不会丢失我的函数当前存储在 cookie 中的任何数据？

我对 JBOSS5 和 6 使用了以下步骤，但这些步骤不适用于 JBOSS 7：

当我找到 jboss7 的解决方案时，将 http-only 标记添加到 web.xml 中的会话配置

所以据我了解，这是关于应用程序级别 web.xml 的配置 那么我们如何为整个 JBOSS 实例设置 cookie 保护呢？允许在 JBOSS56 中全局配置会话 cookie 是个好主意，JBOSS7 中是否缺少此功能？这个问题可能会在 StackOverflow 中重复出现。但我无法在这些答案中获得适当的清晰度。

从我在线阅读的所有内容来看，像这样的 web.config 应该在 ASP.NET 2.0 中启用 HttpOnly cookie。但是，这是行不通的。

还有什么我想念的吗？我看过很多关于这个主题的帖子，但是 cookie 不会显示为 HttpOnly（或者安全，如果我将 requireSSL="true" 添加到标签）。

我正在使用 IIS 7.0。

编辑：

我试图在根级别的 web.config 中设置它以覆盖所有 cookie。我正在查看 ASP 页面上 Firebug 中的 cookie，并且应该有绿色文本的 'HttpOnly' 部分显示 'HttpOnly' 对于其中一些是空的。

例子：

在阅读了这篇 SO 帖子后，我也需要将 ASPSESSIONID[random-string-here] cookie 设置为经典 ASP 页面的 HttpOnly。但是，在 IIS 5 中。

那么，我有哪些选择？我没有生成这些 cookie，它们似乎是自动生成的。是否有我可以更改的 IIS 5、全局、web.config 设置？

我有一个 js 客户端应用程序，它使用仅 http 的 cookie 来存储当前经过身份验证的用户的凭据。应用程序使用 cookie 中的数据来执行每个请求的身份验证。

但是，应用程序确实会发出不包含 cookie 的 ajax 请求。当服务器来处理这些请求时，它认为它没有cookie，因此没有经过身份验证的用户并执行重定向到登录页面。尽管如此，cookie 仍然存在，并且所有标准的 http 请求都按预期工作。

这个问题有什么简单的解决方法吗？在这种情况下，推荐的做法是什么？

前言：

我正在编写一个 windows phone 8 应用程序，我的一个模块负责通过远程服务器进行通信。

我正在使用 HttpWebRequest 和 HttpWebRequest 使用 GET 和 POST 方法。

我还惊讶地发现，仅 HTTP cookie 无法通过 WP8 应用程序访问，这意味着您无法获取、设置甚至查看它们。

您可能知道，当您从服务器获得响应时，CookieCollection 类型的 Cookies 属性看似为空，但是，当您在控制台应用程序中使用相同的代码时，您可以看到 cookie 及其内容这是会话ID。

我在论坛上浪费了很多时间和几天来解决这个问题，而我发现相关的解决方案只是创建一个新的 CookieContainer 并将其附加到我正在执行的每个请求中。

这个解决方案有效，但现在我到了必须实际获取会话 ID 以用于其他目的的阶段。例如使用 WebBrowser 控件，我需要将来自服务器的资源附加到它，但这是唯一的方法将工作是通过附加会话ID也......所以我真的必须得到cookie的价值......

目前，除了 WebBrowser 问题，一切都运行良好，但与我一起工作的人告诉我，在下一步中，我必须拥有会话 ID 用于其他目的。

我尝试了各种解决方案，通过反射和添加 C++ 非托管代码，但没有任何效果。

这对我来说听起来不合理，这是不可能的......

有没有人解决了这个问题，并且实际上有一个工作代码？

我真的很绝望，谢谢你的帮助。

想要为我们的应用程序启用会话 cookie 的 httpOnly 属性。我们使用 servlet-api 2.5 版本和 web.xml 作为 2.5 .. 现在我尝试在 web.xml 中添加以下代码

我在web.xmlat遇到错误解析错误<cookie-config>

任何人都可以帮助解决这个问题..我是否需要将 servlet 版本更新为 3 并将 web.xml 更新为 3...

或任何其他用java代码本身编写的方法..我们使用的是jboss 5版本..

我尝试通过 html5 音频标签播放一些 mp3 文件。对于桌面来说，这很好用（使用 Chrome），但对于移动浏览器（还有 Chrome（适用于 Android）），似乎存在一些困难：

我用一些密码保护了流，因此流服务器需要找到一个特殊的身份验证 cookie（spring security remember-me）。但不知何故，当移动浏览器通过音频标签访问 mp3 流时，它不会发送此 cookie。当我将流 URL 直接输入到地址栏时，一切正常。

当我搜索丢失的 cookie 时，我发现移动浏览器仍然发送一些 cookie（例如 JSESSIONID）但不是全部。进一步的调查（使用 PHP 的快速 PoC）显示移动浏览器似乎拒绝通过设置了 HttpOnly 标志的音频标签发送 cookie。所以我的问题是：

这是一种指定的行为，为什么移动版和桌面版（Chrome）之间存在差异，有没有办法从客户端控制行为？