问题标签 [cookie-httponly]

我找到了一个获取 HttpOnly cookie 的有效解决方案，但是它只返回一个 cookie，而我希望有多个 cookie。

有人可以告诉我我做错了什么吗？

我正在使用 AngularJS 和 Spring 作为后端构建单页应用程序。为了使我的后端无状态，我最近研究了 JWT（JSON Web Tokens）。现在这是混乱 -

一个。我应该将响应头上的 JWT 发送到客户端，然后通过 ngCookie 将其保存到 cookie 吗？如果是，我该如何处理 XSS 攻击？

湾。我应该在后端生成的 cookie 中发送 JWT 并在客户端浏览器上设置 cookie 吗？

C。JWT 安全吗？（因为我可以很容易地解码 JWT，顺便说一下，我将在 https 上运行我的应用程序）

如果有更好的方法来保护我的应用程序，我很想知道。

谢谢你。

请分享任何信息。

我注意到，当我在脚本中设置两个具有相同名称/域的 cookie 时，一个使用 php setcookie，启用了 httponly 标志，另一个使用 javascript 代码，当我尝试使用 $ 检索 cookie 值时_COOKIE var 我只得到 javascript 之一。

有没有办法用 php 检索 httponly cookie？

PS 使用 PHP 5.4 和 Iceweasel 31.4.0

环境 ：

1. Liferay 6.2 与 Jboss

我们正在尝试实现 httponly 和安全。

为此，我们对圆顶进行了一些更改，如下所示

在 Portal-ext.properties 中添加：

和

在 ROOT.war/WEB-INF/web.xml 中添加了以下属性

我可以看到所有会话 cookie 都是 httponly 除了以LFR_SESSION_STATE_ 开头的

谁能建议我们如何处理这个问题。

我有一个带有这些参数的 cookie：

我尝试使用以下代码使用 PHP 删除 cookie：

但我仍然无法删除它。有谁知道如何使用 PHP 或 JS 删除这种类型的 cookie？

我已经搜索了很多使用 JavaScript 删除所有或特定 cookie 的内容。有很多帖子说它不可能 100%，或者你不能删除带有HttpOnly 标志的 cookie 。那么问题来了，Cookies Manager+ Firefox 扩展如何使用 JavaScript 删除 cookie？或者，Delete All Cookies From JavaScript Chrome 扩展程序如何让程序员通过发送postMessage到他的扩展程序来删除 cookie？

我正在开发一个 Firefox 扩展程序，需要从网站上删除一些 cookie。

如何删除 Firefox 扩展程序中的 cookie？

我有一个带有播放框架的 Angular js Web 应用程序作为服务器端。我正在使用 Google plus 登录按钮对用户进行身份验证。我需要在服务器端验证我所有的 ajax 调用。在浏览了网上可用的文档后，我对每个选项都有几个选项和问题。

连接点：Javascript Google 登录，成功登录后，回调一个 javascript 方法。与回调一起返回的 id_token 需要按照此处的建议通过服务器端再次验证。因此，此时可以在服务器端调用中添加上述选项

1. 使用 HttpOnly cookie 并在每个 ajax 调用中检查它。我们能保证这也能防止 CSRF 攻击吗？
2. 设置一个 XSRF-TOKEN cookie，但是它应该设置为 HttpOnly = false。只有这样 angularjs 才能读取它并将其设置为来自它的所有请求中的 X-XSRF-TOKEN 标头。公开一个 javascript 可读的 cookie 并在以后依赖它是安全的是否安全？

在客户端（javascript）设置的 Cookie 将其标记为 httpOnly。如果我们在任何地方使用 HttpOnly，我搜索了我网站中使用的所有 JS 文件，但没有找到。默认情况下，其他原因导致此标志设置为 true。可能是什么问题？我可能无法在这里发布所有数千行代码..

我正在使用会话来管理 ASP.NET CORE 中的应用程序状态，它的配置如下。

它在本地主机上工作，但在远程 IIS 8 上它没有创建 cookie，因此无法获取值。我也启用了 CORS，但不知道究竟是什么导致了这个问题。在日志中也没有显示错误。在响应标头设置 cookie 存在但未在浏览器中设置

我无法在浏览器中设置 cookie。当我将 www 添加到 cookie 域时会发生这种情况，但无法弄清楚原因。

问题描述

我们有一个域mycompany.com，一个运行在下面的应用程序mycompany.com和另一个应用程序subdomain.mycompany.com。他们每个人都有自己的 cookie、secure 和 httpOnly。我们不希望在域之间共享此 cookie。我们将 cookie 的域mycompany.com设置为.mycompany.com. 这样做的问题是它泄漏到subdomain.mycompany.com，所以为了避免它，我将域更改为www.mycompany.com. 在我们的 apache 配置中，我们将所有请求重定向到mycompany.comto www.mycompany.com，所有流量都重定向到 https。

因此，当我去mycompany.com或www.mycompany.com我最终进入时www.mycompany.com，域和 cookie 域匹配，这应该有效，但它没有。的 cookiemycompany.com不在本地存储中（Chrome 和 Firefox）。（我也尝试过使用mycompany.comcookie 域，但正如预期的那样，cookie 泄漏到subdomain.mycompany.com我使用的时候.mycompany.com）

这是服务器发回的 cookie：

读到这个，我认为问题可能出在重定向上，但无论我去mycompamy.com还是，都会发生这种情况www.mycompany.com。

我究竟做错了什么？

PS：cookie 不是由运行在 mycompany.com 下的应用程序生成的，而是由运行在 下的另一个进程生成的，services.mycompany.com客户端将请求发送到该进程以获取 cookie。也许这可能是问题所在。