问题标签 [httponly]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
2192 浏览

jquery - jQuery 重定向和 HttpOnly cookie

我们正在使用 JQuery AJAX 登录。登录服务发出 HTTP 302,位置是登录用户的 GET,或者(在登录失败的情况下)始终返回未授权 HTTP 状态的 REST 端点。在 302 的同时,我们为 JSESSIONID 发出一个 set cookie。该 cookie 是一个 HttpOnly cookie。

当使用直接的 HTTP 表单发布时,重定向工作正常,一切都设置好了。使用 JQuery AJAX 时,重定向到 GET /user/{userId} 不起作用,因为第二次调用不发送 cookie。这个失败的第二次调用应该触发另一个重定向到 auth-failed 端点,但它实际上没有。检查它,我看到第二个电话被“取消”了。这是什么意思,我该如何解决这个问题?

0 投票
0 回答
2873 浏览

cookies - 在经典 ASP 中设置 HttpOnly 标志

我正在使用服务器端 Java 脚本应用程序开发传统的经典 ASP,在该应用程序中,我需要在 cookie 上设置 HttpOnly 标志,以使应用程序 cookie 更加安全,以便无法通过脚本访问它们。我已经尝试了几种方法(如下所示),但它似乎不起作用。任何建议,如果可能的话,带有代码示例,如何在使用 java 脚本进行服务器端脚本编写的 ASP 经典应用程序中设置 HttpOnly 标志。

我已经尝试了以下失败:

我需要对 IIS6 和 7 都进行编码。

谢谢你的帮助。

0 投票
1 回答
5284 浏览

servlets - HttpServletRequest.getCookies(): 数组,为什么 isHttpOnly() 函数总是返回 false?

嗨,到目前为止,我正在尝试使用 httponly cookie 这是我编写的代码

印刷

请注意,我使用的是 JBoss 7,并且在 web.xml 配置中我已添加但我认为缺少某些内容

0 投票
0 回答
869 浏览

java - 当 cookie 被标记为 httpOnly 时,从 Flash 或 Java Applet 向服务器发送会话 ID

是否可以使用 Flash 或 Java Applet 将文件上传到服务器,其中目标 URL 通过某种形式的身份验证受到保护,并且 cookie 被标记为“httpOnly”,而不必禁用 httpOnly 或包含会话 ID在目标 URL 中还是作为 POST 中的另一个参数?

也就是说,使用Uploadify之类的东西,有什么方法可以将会话 ID 发送到服务器,而无需将其添加到目标 URL(例如http://www.example.com:8080/mysite/upload;jsessionid=ABCDEF ) ,作为 Uploadify 执行的 POST 中的参数,还是禁用 httpOnly 标志?

作为参考,我们使用的是 Java 1.6 和 Glassfish 3.1。

我环顾四周,但似乎不可能 - 我必须选择上述三个选项之一。

鉴于此,哪些选项是“最不邪恶的”?或者,如果有一些关于如何处理这种情况的指导,将不胜感激。

我不能只是不使用 Flash/Java,因为我们将它用于文件上传,我们需要允许用户一次选择多个文件 - 期望他们将文件一一添加到标准 HTML 上传选择不会'飞。我们需要支持旧版本的 IE,所以去 HTML5 也行不通。

要求用户上传档案可能会飞,但这将要求他们改变他们的行为,这意味着我们目前在客户端进行的大量验证将不可用,这在您处理时会很痛苦带有大文件和慢速链接。所以,再一次,一点也不理想。

0 投票
1 回答
1456 浏览

xss - 了解 HTTPOnly 标志的预期行为

我对 cookie 中的 HTTPOnly 属性有点困惑。我知道它的主要用途是防止 XSS 攻击。让我们假设有一个 Web 应用程序为 cookie 设置了 httponly。为此,我使用了 Fiddler 之类的拦截代理。但是在所有后续事务中,cookie 都没有附带 httponly 标志。这是一个像设置一次一样的功能,整个会话都被 httponly 标志覆盖......或者这是一个实现缺陷。但是,当通过 cookie 管理器插件进行监控时,属性显示 httponly 已启用。我的问题是它是否启用了为什么 cookie 管理器显示它已启用但不是拦截代理,这是正常的预期行为还是错误的实现。请帮我理解。

0 投票
3 回答
15536 浏览

django - Django CSRF cookie HttpOnly

是否可以将 django csrf cookie 设置为仅限 http?SESSION_COOKIE_HTTPONLY类似于会话 cookie,但对于 csrf 呢?

0 投票
4 回答
57894 浏览

google-chrome - Chrome 开发者工具 > 资源 > cookies > http 一栏,这里打勾是不是表示HttpOnly cookie?

Chrome devtool 的 Cookie 资源面板的 Http 列的复选标记是否表示 HttpOnly cookie?

我找不到证实这一点的文档,尽管我怀疑是这样。我正在尝试验证我的应用程序是否将 HttpOnly 用于会话 cookie。

0 投票
4 回答
8310 浏览

javascript - 使用 javascript 获取 HttpOnly cookie

您知道使用 javascript 访问 HttpOnly cookie 的任何方法吗?我知道这些 cookie 的重点是您将无法以这种方式获取它们(出于安全原因)。但是,现在绝对有办法实现这一目标吗?世界各地的一些黑客没有找到实现这一目标的方法吗?我真的需要通过javascript(而不是任何其他方式)获取这些cookie。如果你知道怎么做,那将非常有帮助。谢谢你。

0 投票
7 回答
671 浏览

javascript - 从客户端删除任何会话

我正在准备一些诊断工具。它在 iframe 中的网站上运行 - 仅通过 javascript。

现在我需要的是摆脱我在 iframe 中的网站中的会话 cookie。我只需要在执行一些操作后退出。

不幸的是,我不能只从 javascript 中删除会话 cookie,因为它带有 httpOnly 标志。我也没有找到以隐身模式打开 iframe 的任何方法。

现在实现这一点的规则如下:

  • 我可以将任何文件添加到目标网站服务器
  • 我可以在网站域上运行任何 javascript
  • 我可以强制用户使用指定的浏览器(它不必是跨浏览器的解决方案)
  • 我不能修改网站代码
  • 解决方案必须独立于服务器和编程语言

任何解决方法的想法?

0 投票
1 回答
3602 浏览

ruby - 如何使机架会话cookie httponly?

我正在使用 Ruby 和 Sinatra 开发应用程序。
我用

为了使用 rack 提供的 session 变量。如何使所有会话 cookie 都成为 HTTPOnly?默认情况下是这样的吗?我找不到任何关于此的文档。