我在 suselinux 中有一个 apache2.4.6 和 dotcms2.3.2。我想在 dotcms 和 tomcat 中设置 httponly 和安全 falg 。我在apache和tomcat中设置了这些配置： <Context useHttpOnly="true">in context.xml <Connector maxThreads="400" connectionTimeout="3000" port="8080" protocol="HTTP/1.1" redirectPort="8443" URIEncoding="UTF-8" secure="true" /> inserver.xml

或者

在httpd.conf.

之后重新启动 tomcat 并使用 burp suite 进行测试，但它没有在 cookie 中设置。

我需要在我的 java 代码中将 HttpOnly cookie 设置为 Session cookie。
为了获得非 HttpOnly cookie，我使用了 Jsoup，但现在被 HttpOnly cookie 卡住了？
注意： 不知道是否重要，但我想从中获取 HttpCookies 的站点是在 ASP.net 中开发的。

我了解 HTTPOnly 标志适用于会话 cookie。它是否适用于持久性 cookie？有人可以提供参考吗？我已经在 HTTPOnly 标志上检查了http://tools.ietf.org/rfc/rfc6265.txt，但没有明确说明。

在使用自定义 404 页面时，我在让 IIS7 将我的所有会话 cookie 设为 HTTPONLY 时遇到问题。

这是我的网络配置：

这使得我所有的 cookie 都只有 HTTP，除非有 404 响应。404 页面返回一个没有 HTTPONLY 的会话 cookie。

有什么建议么？

我在使用基于会话的登录网站时遇到了问题，我在该网站上为我的网站找到了多个会话；一两个 www.domain.com 会话文件和我的一个简单的 domain.com 会话。所有会话都有不同的 session_id。导致不必要的注销。所有这一切似乎工作得很好，但我认为我的 php 版本发生了变化并打开了一个受伤的世界。

到目前为止，我有两个修复程序。

1.

在每个 session_start() ini_set( 'session.cookie_httponly', 1 ); 之前的实际 php 代码中

还

2.

在我的 php.ini 中：

void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool >$secure = false [, bool $httponly = false ]]]] )

结合这些操作，我得到了三个会话 cookie，只有一个以 www 开头的会话 cookie，这是错误的 session_id。

现在更可悲的是没有可见的会话 cookie，尽管它们存在于某处，因为我可以调用 print_r($_SESSION); 并查看 cookie 数据，但它没有显示在我的浏览器中。

请问，有什么建议吗？

在开发 phonegap 应用程序时，我可以在从 XHR 登录请求到我正在使用的 API 的响应中看到 SetCookie 标头。正如预期的那样，当我检查后续请求时，我看到了正在发送的 cookie。我还可以看到它是一个httpOnlycookie，所以我无法使用脚本存储它。

但是，在 Chrome 开发工具“资源”中，如果我愿意，我可以轻松删除 cookie。

然而，当我在外部 iOS 或 Android 设备上运行应用程序时，使用 Safari 或 Chrome Web Inspectors 为每个相应的设备，我无法在“资源”面板中看到 cookie。我也没有在请求或响应中看到 cookie 标头，但不知何故我的请求很好。

这是一种安全措施，还是我的应用程序/API 中存在与 cookie 相关的错误？

我想关闭我认为是 Spring Boot 默认的 HttpOnly 会话。如何在春季启动时关闭 HttpOnly？

我目前有如下代码：

这将返回 HTTP 调用的响应标头：

请注意 HttpOnly 标志。我想把它关掉。我该怎么做？

旁注：是的，我知道 httpOnly 是一项安全功能，通过关闭它可以让 javascript 访问我的 cookie，即 XSS。

另外，我没有除默认以外的任何配置。

我已经阅读了OWASP 信息以及一系列文章，包括 Jeff Atwood 的保护您的 Cookie文章，但我仍然觉得我需要更好地理解 HttpOnly cookie。

这是因为我需要向网站添加一些Google Adword 跟踪代码。这个 javascript 需要设置和读取网站域上的 cookie，我认为这是一个问题。该网站是 web.config 中的 .Net 应用程序httpOnlyCookies="true"，因此我认为最好的方法是替换 javascript 并从后端写入 cookie，以确保生成的 cookie 是 HttpOnly。然后我也可以轻松地在服务器端读取 cookie。

我了解设置 cookie 属性的 HttpOnly 很大程度上可以防止 cookie 被客户端读取和操作。但我不明白的是：

• 鉴于上面的例子，我使用 javascript 实现会有问题吗？
• 使用javascript编写cookie仍然可以吗（但仍然使用服务器端读取它）？我不认为 cookie 不是 HttpOnly cookie
• 如果我做了正确的事情（将所有内容移至服务器端实现），为什么 Google Analytic cookie 总是作为非 HttpOnly cookie 实现？他们肯定也构成安全问题吗？

所以正如标题所说，我想我要问的是 - 什么时候（如果有的话）在你的域上使用非 HttpOnly cookie 是合适的？

我可以看到HttpOnlycookie对安全性有好处，但是它们使在没有服务器交互的情况下退出是不可能的，对吧？¹所以当网络出现故障时，你无法登出离开。我可以想象一个解决方法，但我想先问

• 处理这个案子有意义吗
• 有什么标准的解决方案吗？

^{1 假设您实际使用它们。}

我的目标是尝试让 httponly cookie 能够让后台传输服务处理我在 wp8 上的请求。

我从如何在 Windows Phone 8 中获取 HttpOnly cookie 中采取的一种方法？是创建一个 StreamSocket 实例并读取原始数据。

除了不幸的'它不能通过代理工作'，我可以离开，我还面临另一个问题 - 我在 IIS 中的应用程序在主站点下运行（例如https://supersite.com/myapp）。

有什么方法可以使用 StreamSocket 向 IIS 应用程序发出请求，而不仅仅是主机名？