问题标签 [cookie-httponly]

我想在我的 Play-Application（Play 2.1，Scala）中使用 i18n。选择的语言存储在 中PLAY_LANG-Cookie，但不幸的是这个 cookie 是httpOnly。这意味着我无法在我的 JavaScript 文件中读取它的值。

我尝试更改httpOnly-Value中的application.conf，但它没有工作。

我还没有在这方面找到任何东西，所以我真的很感激一些帮助！

目前，我有一个 HTML 页面，它向 Python 服务器发送一个带有登录详细信息的 POST 请求。Python 服务器验证登录，然后通过标头发回一个 cookie（我使用的是 Python 库中内置的 Cookie 类）。我想在获得 200 OK 状态后立即重定向。问题是 cookie 设置得不够快，因此重定向发生在设置 cookie 之前，因此 check_login 页面将显示我尚未登录。

我希望浏览器存储一个 HTTPOnly cookie。XMLHttpRequest API 中是否有一些东西可以让我在存储 cookie 后重定向，或者其他方法？

谢谢！

HTTP请求代码：

通过单击按钮调用此请求。如果我返回该按钮所在的页面然后再次单击它，我将始终登录，因为从第一次单击时就已经设置了 cookie。

我有一个在 Tomcat 7 服务器上运行的 Web 应用程序。默认情况下，带有会话 id 的 cookie 具有标志HttpOnly和Secure. 我想为JSESSIONIDcookie 禁用这个标志。但它不会工作。我已经在我的web.xml文件中更改了它，但它不起作用。

我知道这是一个安全风险，因为如果攻击者找到了 xss 漏洞，他就能够窃取 cookie 并劫持会话。

JSESSIONIDcookie 应该使用 HTTP 和 HTTPS 以及 AJAX 请求发送。

编辑：

我HttpOnly通过向文件添加以下选项成功禁用了该标志conf/context.xml：

我有一个移动网站，作为我的安全措施的一部分，我希望用户“注册”他们的设备，这样我就可以限制用户可以访问该网站的设备数量。我的想法是，对于“新”设备，让它们通过双因素身份验证过程，并将服务器发送的 GUID 存储在将保存 GUID 的 httpOnly cookie（通过 SSL）中。当用户访问站点并使用他们的用户名和密码登录时，服务器会将那个 cookie 与他们在数据库中的用户记录进行比较，如果匹配，让他们登录。

所以我的问题是：这是对 httpOnly cookie 的有效/安全使用吗？我为“设备注册”描述的方法是否有意义？

谢谢！

Because of the vulnerabilities in Security Scans(SCABBA) done for our applications, we added secure and HttpOnly to SMESSION cookie. Now we are facing the issue like when i am redirecting from one application to another(all are under single sign on) some time Session get invalidated withing 5-10 min. we are redirecting to Login page.

I hope SMSESSION fix we did is causing these problems but nor sure on it. Some where i got the below info

smsession cookie generated by siteminder is always encrypted format and is also highly secure manner. We can have secure & http-only flags to the siteminder cookies implemented but there may be some functionality issues after implementing these flags to the cookies likewise. (a) Seamless will break on moving from HTTP to HTTPs or vice versa (we have all https only) (b) There may be few session upholding issues (c) Logout functionality may break. These were few of the breakage which we experienced in last few cases.

Can anyone have idea on it?

Thanks in advance

-Regards, Raviteja Koditiwada

我在 Javascript 中有一个函数，它设置这样的 cookie：

我想将cookie的HttpOnly属性设置为TRUE。

我如何在 Javascript 中做到这一点？

我尝试了以下方法，但没有成功：

此外，在Google中搜索但未在 Javascript 中找到任何解决方案。

我需要在我的 java 代码中将 HttpOnly cookie 设置为 Session cookie。
为了获得非 HttpOnly cookie，我使用了 Jsoup，但现在被 HttpOnly cookie 卡住了？
注意： 不知道是否重要，但我想从中获取 HttpCookies 的站点是在 ASP.net 中开发的。

无论如何可以从 Greasemonkey 脚本访问安全 cookie 吗？
我编写了使用该document.cookie.split函数的脚本。它返回一个 cookie 列表，但不包括安全 cookie。

我正在开发一个单页 Web 应用程序。我已经包含了一个 java 过滤器来拦截 html 页面请求。所以在这个过滤器中，我使用request.getSession(). 然后我JSESSIONID明确设置 cookie，因为我必须HttpOnly在响应标头中设置标志Set-Cookie以防止 XSS 攻击通过document.cookie客户端。

现在登录后我需要会话，所以我正在使用request.getSession(). 并根据HttpServletRequestjavadoc HttpServletRequest javadoc

request.getSession() 返回与此请求关联的当前会话，或者如果请求没有会话，则创建一个。

但是登录后我得到了一个不同的会话。

我可以看到HttpOnlycookie对安全性有好处，但是它们使在没有服务器交互的情况下退出是不可能的，对吧？¹所以当网络出现故障时，你无法登出离开。我可以想象一个解决方法，但我想先问

• 处理这个案子有意义吗
• 有什么标准的解决方案吗？

^{1 假设您实际使用它们。}