问题标签 [cookie-httponly]

我点击了其他网址

使用 HttpURLConnection 类，我在输入流中获取 SJON 数据。

但是在我的要求中，当我点击 URL 时，它应该存储某种令牌或 cookie 以在我在 chrome 浏览器中打开 URL 时对 URL 进行身份验证。您可以在下面找到代码：

Update I am able read LTPatoken2 but dont know how to put or store in localhost cookie and authenticate the URL

在 Angular2 应用程序和 Java 后端 API 之间实现和处理 CORS 问题时，我已经走到了尽头。

我知道并知道什么是 CORS 请求，已经在 angular1 应用程序中实现，但我无法使其在 Angular2 (Ionic2) 应用程序中工作。

ionic 2 应用程序应该使用现有的 API Web 服务，该服务已经启用了用于发出 CORS 请求的一切，并且身份验证是使用 Http only cookie 完成的......已经在 Angular 1 中实现。

出于某种原因，当我们在请求中设置标头时，Angular2 将“ withCredentials ”标志设置为 false 或根本不发送，并且向 api 发出请求但不返回 cookie……我们无法进行身份验证API 调用。我已经尝试了很多很多东西来将 http 标头和“withCredentials”标志一起发送，但在 Angular2 中似乎没有任何效果，而在 Angular1 中则可以正常工作。我们发送的所有标头都是服务器允许的，它们在响应中的“Access-Control-Allow-Headers”中返回。

有趣的是，如果我尝试仅使用“withCredentials”标志发送请求，则请求发送正常，并且浏览器正确设置了 cookie。

我尝试过以下事情：

1. 创建自定义 http 类，如下所述：http: //www.adonespitogo.com/articles/angular-2-extending-http-provider/

2. 扩展类似 BrowserXhr 类并将“withCredentials”设置为 true，如下所述：Angular 2 - http get withCredentials

3. 直接在 RequestOptions 中设置，如下所示： angular 2 http withCredentials

4. 像这里一样扩展 BaseRequestOptions (RequestOptions)： Angular2 - 为每个请求设置标头

示例代码：

稍后在模块中：

也试过这样：

如果有人成功结合了 http 标头和 withCredentials 标志，请分享您的经验。

更新： 我没有找到解决这个问题的方法，所以我们决定删除一些安全头并对请求进行 IP 地址过滤。通过这种方式，我们不需要发送任何额外的 http 标头并继续使用 httponly cookie。

我想在基于 zend 的应用程序中启用 httponly cookie。为此，我在 application.config.php 中添加了以下行

到现有的 session_config 数组，它看起来像下面

但它不起作用。有任何想法吗 ？

我有一个使用 Spring Boot 的应用程序，我在其中设置了 HttpOnly cookie。在浏览器中，我可以检查它并看到它设置为 HttpOnly。有了这个，我避免了客户端在它上面使用 javascript。

但是，读取 cookie 时我是否必须在服务器端做任何事情？据我了解，我不能使用 javascript 来读取 cookie，但我仍然可以使用浏览器插件创建一个与 HttpOnly 具有相同名称和值的非 HttpOnly cookie。在服务器端，我不需要验证 cookie 以及它是否是 HttpOnly 吗？

我已经尝试通过从请求中获取 cookie 列表来做到这一点，但似乎它们都将不同的字段设置为默认值。我可以读取的唯一字段是 cookie 的名称和值。

这是预期的行为吗？

我在设置文件中设置了这个变量，如下所示：

但是当我用谷歌浏览器打开网站时，HttpOnly并没有出现在set-cookie.

我的网络服务器是 Apache2.4，网站使用的是 Https 协议。

我们正在我们的环境中实现在连接代理SonarQube后面运行。 在对应用程序（HP Fortify）运行安全扫描后，它返回了一些 cookie 安全问题，具体如下：IISHTTPS

您认为这是由于IIS配置造成的，还是只是SonarQube此处应用程序中的标准配置？
我不确定如何解释这里的结果或如何挖掘它。
任何建议将不胜感激。

我有一个向 JS 应用程序提供 JSON 数据的 REST 服务。在身份验证期间，服务器设置一个名为 token= 的 HttpOnly cookie 并设置 HttpOnly 标志。HttpOnly 标志在浏览器的开发人员工具中可见。

但是，当 JS 应用程序向 REST 服务器发送下一个请求（比如 GET）时，我看到了附加的令牌，但我没有看到浏览器设置了 HttpOnly 标志。这是预期的行为吗？我查看了一些文档，但找不到可以预期的具体迹象。我希望浏览器保留 HttpOnly 标志 ON 配置。

在服务器端，当我调用 cookies.isHttpOnly() 时，我得到了错误。考虑到我已经设置了相同的标记，这不应该是真的吗？

以下是我的观察：

从 REST 服务收到的 HTTP 响应标头：

标题名称：SET-COOKIE

Content: token=eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwicm9sZXMiOiJBRE1JTixVU0VSIiwiZXhwIjoxNTEyMzQ1MTM.LqBlD4pdbi9mHH1CWw52US77oefZjo40e7T02lTp7oEaMGslY71INB9WwuhETiQ;Max-Age=2592000;Expires=Sun, 03-Dec-2017 23:52:16 GMT;Path=/;HttpOnly

客户端向 REST 服务发送的 HTTP 请求标头：

标题名称：Cookie

内容： token=eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwicm9sZXMiOiJBRE1JTixVU0VSIiwiZXhwIjoxNTEyMzQ1MTM.LqBlD4pdbi9mHH1CWw52US77oefZjo40e7T02lTp7oEaMGslY71INB9WwuhETiQ

我是节点新手，正在阅读一些教程。我有一个运行此代码的简单节点服务器：

我还有另一个 .js 文件试图访问这个服务器：

据我了解，客户端 Javascript 应该无法使用 httponly cookie。但是，当我运行客户端代码时，我得到：

这是正确的吗？我没有正确设置它吗？我觉得这是一个错误，因为 httponly 属性意味着我不应该能够通过 Javascript 访问它。

我正在使用 Django 作为后端和 Angular 作为前端来构建一个应用程序。我知道在 httpOnly cookie 中保存身份验证令牌是最安全的，很棒。真正的问题是我该怎么做。听说我需要像中间人服务器这样的东西来做到这一点，但我一点也不知道。谁能给我指出正确的方向？我将永远感激不尽。

我试过在 django 上设置它，那时我意识到它不能跨域设置。所以请帮忙

• 角 5
• 蟒蛇3.6
• django 1.11

没有错误但我无法在浏览器中配置 httponly 状态。你能检查我的代码吗？