问题标签 [httponly]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
13284 浏览

apache - 如何在apache2.4.6和tomcat中设置HttpOnly和Secure标志

我在 suselinux 中有一个 apache2.4.6 和 dotcms2.3.2。我想在 dotcms 和 tomcat 中设置 httponly 和安全 falg 。我在apache和tomcat中设置了这些配置: <Context useHttpOnly="true">in context.xml <Connector maxThreads="400" connectionTimeout="3000" port="8080" protocol="HTTP/1.1" redirectPort="8443" URIEncoding="UTF-8" secure="true" /> inserver.xml

或者

httpd.conf.

之后重新启动 tomcat 并使用 burp suite 进行测试,但它没有在 cookie 中设置。

0 投票
1 回答
2881 浏览

java - 如何获取 HttpOnly cookie

我需要在我的 java 代码中将 HttpOnly cookie 设置为 Session cookie
为了获得非 HttpOnly cookie,我使用了 Jsoup,但现在被 HttpOnly cookie 卡住了?
注意: 不知道是否重要,但我想从中获取 HttpCookies 的站点是在 ASP.net 中开发的。

0 投票
1 回答
1231 浏览

persistent - HTTPOnly 标志是否适用于持久性 cookie

我了解 HTTPOnly 标志适用于会话 cookie。它是否适用于持久性 cookie?有人可以提供参考吗?我已经在 HTTPOnly 标志上检查了http://tools.ietf.org/rfc/rfc6265.txt,但没有明确说明。

0 投票
0 回答
749 浏览

iis-7 - 自定义 404 未在使用经典 ASP 和 IIS 7 的 cookie 上设置 HTTPONLY

在使用自定义 404 页面时,我在让 IIS7 将我的所有会话 cookie 设为 HTTPONLY 时遇到问题。

这是我的网络配置:

这使得我所有的 cookie 都只有 HTTP,除非有 404 响应。404 页面返回一个没有 HTTPONLY 的会话 cookie。

有什么建议么?

0 投票
0 回答
96 浏览

php - $_SESSIONS 多个不需要的会话

我在使用基于会话的登录网站时遇到了问题,我在该网站上为我的网站找到了多个会话;一两个 www.domain.com 会话文件和我的一个简单的 domain.com 会话。所有会话都有不同的 session_id。导致不必要的注销。所有这一切似乎工作得很好,但我认为我的 php 版本发生了变化并打开了一个受伤的世界。

到目前为止,我有两个修复程序。

1.

在每个 session_start() ini_set( 'session.cookie_httponly', 1 ); 之前的实际 php 代码中

2.

在我的 php.ini 中:

void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool >$secure = false [, bool $httponly = false ]]]] )

结合这些操作,我得到了三个会话 cookie,只有一个以 www 开头的会话 cookie,这是错误的 session_id。

现在更可悲的是没有可见的会话 cookie,尽管它们存在于某处,因为我可以调用 print_r($_SESSION); 并查看 cookie 数据,但它没有显示在我的浏览器中。

请问,有什么建议吗?

0 投票
0 回答
516 浏览

cookies - 在外部设备 phonegap 应用程序上看不到请求或响应 Cookie 标头

在开发 phonegap 应用程序时,我可以在从 XHR 登录请求到我正在使用的 API 的响应中看到 SetCookie 标头。正如预期的那样,当我检查后续请求时,我看到了正在发送的 cookie。我还可以看到它是一个httpOnlycookie,所以我无法使用脚本存储它。

但是,在 Chrome 开发工具“资源”中,如果我愿意,我可以轻松删除 cookie。

然而,当我在外部 iOS 或 Android 设备上运行应用程序时,使用 Safari 或 Chrome Web Inspectors 为每个相应的设备,我无法在“资源”面板中看到 cookie。我也没有在请求或响应中看到 cookie 标头,但不知何故我的请求很好。

这是一种安全措施,还是我的应用程序/API 中存在与 cookie 相关的错误?

0 投票
4 回答
22623 浏览

java - 关闭 HttpOnly Spring 启动

我想关闭我认为是 Spring Boot 默认的 HttpOnly 会话。如何在春季启动时关闭 HttpOnly?

我目前有如下代码:

这将返回 HTTP 调用的响应标头:

请注意 HttpOnly 标志。我想把它关掉。我该怎么做?

旁注:是的,我知道 httpOnly 是一项安全功能,通过关闭它可以让 javascript 访问我的 cookie,即 XSS。

另外,我没有除默认以外的任何配置。

0 投票
2 回答
1428 浏览

javascript - 什么时候适合在您的域上使用非 HttpOnly cookie?

我已经阅读了OWASP 信息以及一系列文章,包括 Jeff Atwood 的保护您的 Cookie文章,但我仍然觉得我需要更好地理解 HttpOnly cookie。

这是因为我需要向网站添加一些Google Adword 跟踪代码。这个 javascript 需要设置和读取网站域上的 cookie,我认为这是一个问题。该网站是 web.config 中的 .Net 应用程序httpOnlyCookies="true",因此我认为最好的方法是替换 javascript 并从后端写入 cookie,以确保生成的 cookie 是 HttpOnly。然后我也可以轻松地在服务器端读取 cookie。

我了解设置 cookie 属性的 HttpOnly 很大程度上可以防止 cookie 被客户端读取和操作。但我不明白的是:

  • 鉴于上面的例子,我使用 javascript 实现会有问题吗?
  • 使用javascript编写cookie仍然可以吗(但仍然使用服务器端读取它)?我不认为 cookie 不是 HttpOnly cookie
  • 如果我做了正确的事情(将所有内容移至服务器端实现),为什么 Google Analytic cookie 总是作为非 HttpOnly cookie 实现?他们肯定也构成安全问题吗?

所以正如标题所说,我想我要问的是 - 什么时候(如果有的话)在你的域上使用非 HttpOnly cookie 是合适的?

0 投票
1 回答
4560 浏览

web-services - 使用 HttpOnly cookie 注销

我可以看到HttpOnlycookie对安全性有好处,但是它们使在没有服务器交互的情况下退出是不可能的,对吧?1所以当网络出现故障时,你无法登出离开。我可以想象一个解决方法,但我想先问

  • 处理这个案子有意义吗
  • 有什么标准的解决方案吗?

1 假设您实际使用它们。

0 投票
0 回答
211 浏览

c# - 使用 StreamSocket 类从 IIS 应用程序获取 http 响应

我的目标是尝试让 httponly cookie 能够让后台传输服务处理我在 wp8 上的请求。

我从如何在 Windows Phone 8 中获取 HttpOnly cookie 中采取的一种方法?是创建一个 StreamSocket 实例并读取原始数据。

除了不幸的'它不能通过代理工作',我可以离开,我还面临另一个问题 - 我在 IIS 中的应用程序在主站点下运行(例如https://supersite.com/myapp)。

有什么方法可以使用 StreamSocket 向 IIS 应用程序发出请求,而不仅仅是主机名?