问题标签 [httponly]

我知道以前有人问过这个问题，但我需要一些澄清和确认。我在创建 cookie 时被告知要使用 httponly 来防止 XSS。

所以我要澄清的是，如果我使用 httponly，我通过 ajax 请求访问的 php 脚本是否仍然能够确定我的活动 php 会话（默认值：phpssessid）并检索我的 $_SESSION 变量？

问题是我没有使用 httponly 选项进行设计，我担心添加该选项是否会以任何方式影响脚本的设计。

谢谢！

有没有办法在 php 中检查 cookie 是否为 httponly？

如果我的应用程序将 HttpOnly cookie 放在客户端上，然后需要将其删除，您如何才能完全删除它们？

你好 一个网站被开发并部署到客户端。在某些情况下，我需要设置标志HttpCookie.HttpOnly = true。好的 - 我已经做到了。下一个问题：

1. 在 JavaScript 中设置标志后 Cookie 是否可用？
2. 或者当我使用 JavaScript 时可能有一些限制？
3. 还是我需要对现有的 JavaScript 进行一些更改？

我在 websphere 中为 jsession cookie 设置了以下属性 com.ibm.ws.webcontainer.HTTPOnlyCookies。

知道如何最好地在 Firefox 或 IE 中使用 JavaScript 进行测试吗？

我想制作我的会话 cookie HttpOnly。基于这篇文章，我将其添加到我的application.ini：

不幸的是，当我查看Firecookie中的会话 cookie 时，它​​并没有HttpOnly像我指定的那样被标记。我错过了什么步骤？

HttpOnly默认情况下，rails session cookie 是，但remember_user_tokenDevise 的 Rememberable 模块设置的 cookie 不是。

据我了解，发送 cookie 会导致用户收到一个新的会话 cookie，因此它肯定容易受到 XSS 的攻击。

那么有没有办法将它设置为HttpOnly？

这是大图

我想将“HttpOnly”附加到 JSESSIONID Cookie，但我想手动执行此操作，这意味着：

这是在映射到所有站点的 Servlet 过滤器中完成的（过滤器的 url 模式为“/*”）

1. 我怎样才能让这个过滤器只运行一次？也就是说，在登录时，或
2. 我真的必须在每个请求时运行并检查此 cookie 是否已被标记，如果答案为“是”则跳过？

有什么建议么 ？

PS：

1. 不要告诉我升级到 Servlet 3.0，因为我现在不能这样做
2. 忽略StringBuilder的不当使用和缺少变量sessionId

所以我有一个 java webapp，它使用带有 apache 代理层的 tomcat。我希望从应用程序中设置的所有 cookie 都具有 httpOnly 标志。这个问题是tomcat负责从应用程序端设置标志，它的默认值（在servlet api 2.5中）是false。我希望我可以使用 apache 为所有 cookie 设置这个标志。

我一直在尝试不同的组合，我得到的最接近的是设置传递给 httpOnly 的最后一个 cookie，这当然是错误的：

我无法知道将从应用程序传递哪些 cookie/值。这甚至可能吗？

我正在尝试创建一个启用 HttpOnly 标志的 cookie。

虽然似乎有大量关于如何在 Java 和 .Net 中执行此操作的资源，但我需要在 javascript 中执行此操作。

这是我的（当前失败的）功能

谢谢 -