问题标签 [cookie-httponly]

因此，我正在使用一个应用程序，该应用程序向浏览器发送回一个 ID，以便在 httponly cookie 中的未来 XHR 中使用。

但是，在未来对服务器的请求中，此 cookie 不会在 Windows 7 上的 IE11 中提交。这适用于 Opera、Chrome、Firefox 和 Edge。

• 我已确保根据MDN将 XHR 上的 withCredentials 属性设置为 true 。
• 尝试开启和关闭保护模式。
• 将 Internet 选项中的安全性降低到最低设置。
• 确保我正在使用的服务器没有下划线。
• 确保 CORS 正常工作并且看起来正常

对此的任何帮助都会很棒！我完全被困住了。

问题或多或少在标题中。我用谷歌搜索和谷歌搜索无济于事。不幸的是，我不能再尝试几天。

由于 PCI 规定，我的应用程序中的大多数 cookie 都需要安全且仅限 http。我通过我的 Apache 配置文件中的这一行实现了这一点：

标头编辑 Set-Cookie ^(.*)$ $1;HttpOnly;Secure

然而，这破坏了应用程序的一部分，其中单个 cookie，我们称之为 foobar，必须由 javascript 读取。因此我只需要删除这个cookie的httponly。

我已经尝试过几种方法，包括 mod_rewrite，但我无法让 httponly 删除 cookie。我不想重置 cookie 等的值，只需去掉 httponly 部分。

例如，标题总是编辑 Set-Cookie ^(foobar=.*)$ $1 （不起作用）

我在这个问题中讨论的 context.xml 中添加了以下行，现在我所有的 cookie 都设置为安全和 httponly。

但是现在当我登录到系统时，它把我扔了出去，说我的会话过期了。

系统在“Http”上运行，我在这里有什么遗漏吗？

先感谢您。

早些时候，我为 HTTP/HTTPS 协议获取了 HttpOnly，但缺少安全属性。

为了添加“安全”属性，我在 server.xml 的连接器端口语法中添加了 secure="true"，如下所示 -

还在 web.xml 中添加了“cookie-config”，如下所示 -</p>

现在对于 HTTPS 协议，我将 Session cookie 的“Secure”和“HttpOnly”标志设置为 true，如下所示。

但是对于 HTTP 协议，我没有得到 HttpOnly 属性。如果是 HTTP 协议，我需要“HttpOnly=true”。

请注意，我的 context.xml 的“上下文”元素已经包含 useHttpOnly 属性，如下所示 -

任何建议都非常感谢。

我正在使用服务堆栈开发一个自托管的 Windows HTTP 服务，我有一个请求来实现基本身份验证（用户名/密码）来验证调用应用程序。这是我现在正在使用的代码，它工作正常：

当我检查来自我的服务的响应标头时，我清楚地看到它包含 2 个 cookie：

设置 Cookie：ss-id=dT8Yy6ejhgfjhgfkVvcxcxCNtngYRS4;path=/

设置 Cookie：ss-pid=p4lsgo18JhYF4CTcxkhgkhgffRZob;path=/;expires=Fri, 09 Jan 2037 12:17:03 GMT

为了安全起见，我需要配置 ServiceStack 以将 ;httpOnly 标志添加到这些 cookie 中，但我找不到如何做到这一点。

所以伙计们，有人知道如何做到这一点吗？任何想法都非常受欢迎。

在此先感谢您的帮助 ：）

我想使用HttpOnlycookie，我在 Java 中设置如下：

我得到了带有 cookie 的客户端响应，但是当我发送下一个请求时，我的请求中没有 cookie。也许我错过了一些东西，但据我所知，HttpOnly浏览器必须在每个到达定义路径的请求（JavaScript 无权访问这些 cookie）时将这些 cookie 发送回。

我有以下请求标头：

以及以下响应标头：

同样在客户端，我withCredentials: true在 Angular2 中使用并X-Requested-With:XMLHttpRequest作为请求标头。

而且是跨域。

我知道很多人可能不同意这种实现，但我希望将 jwt 存储在仅限 http 的容器中，以防止 javascript 访问令牌。一旦用户通过身份验证，.NET 应用程序就会从 Identity Server 检索 Jwt。然后我想创建一个仅限 http 的 cookie 并将 jwt 存储在其中，然后将其发送到 api 进行授权。

我想问我如何将此cookie发送到api以及如何让api访问cookie中的jwt并使用身份服务器进行身份验证（我知道我可以使用身份服务器上的自省端点来检查是否jwt 有效）。

我目前正在尝试使用 RestSharp 从应用程序发送请求：

这是我试图用来验证 api 上的 jwt 的代码：

ASP.NET 会话 cookie 仅是 HTTP，无论您的问题中链接到的 httpOnlyCookies 设置如何，因为它被刻录到 ASP.NET 中。你不能覆盖它。

资料来源：已接受答案如何为 ASP.NET_SessionId cookie 设置 HttpOnly？

收到响应时，我无法在浏览器中看到该标志。应用程序 web.config 没有定义 httpCookies 元素，也没有在全局文件中将 HttpOnly 属性设置为 false。

但是，在笔测试报告中，它谈到了使用不安全的 asp.net 会话 cookie，我可以看到同一请求的 HttpOnly 标志。见下文：

同样，我不是在询问 cookie 安全性或渗透测试问题本身。我只是想知道为什么浏览器没有显示标志。在 IE 和 Chrome 中都试过了。

有没有人使用 AWS 应用程序控制的粘性 cookie 实现 .NET？我有 LB 生成的粘性 cookie [通常它被命名为“AWSELB”]，它不支持 HttpOnly Secure 标志。出于安全原因，我需要将其更改为应用程序控制的粘性。为此，要进行哪些代码级别更改（在 .NET 端）以便我可以设置 HttpOnly 安全标志？

有关 AWS 粘性会话 cookie 的更多信息：

AWS 通常有两个会话粘性 cookie。

1. 基于持续时间的会话粘性
2. 应用程序控制的会话粘性

基于持续时间的会话粘性可以由 AWS 生成，并且不能有 HttpOnly Secure 标志。应用程序控制的粘性是从应用程序端处理的，并且可以选择设置 httponly 安全标志。

我正在寻找 .NET 示例。