问题标签 [httponly]

我在一个 Windows Phone 8 PCL 项目中工作。我正在使用第 3 方 REST API，我需要使用一些由 API 发起的 HttpOnly cookie。除非您使用反射或其他后门，否则似乎无法从 HttpClientHandler 的 CookieContainer 获取/访问 HttpOnly cookie。

我需要获取这些 cookie 并在后续请求中发送它们，否则我将无法使用此 API - 我该如何完成？这是我当前的请求代码的样子：

提前致谢。

我在我的应用程序的 web.config 下设置了以下内容

现在我要确保配置正确。测试仅 http 和安全标志是否正常工作的最简单方法是什么？

谢谢

目前，我有一个 HTML 页面，它向 Python 服务器发送一个带有登录详细信息的 POST 请求。Python 服务器验证登录，然后通过标头发回一个 cookie（我使用的是 Python 库中内置的 Cookie 类）。我想在获得 200 OK 状态后立即重定向。问题是 cookie 设置得不够快，因此重定向发生在设置 cookie 之前，因此 check_login 页面将显示我尚未登录。

我希望浏览器存储一个 HTTPOnly cookie。XMLHttpRequest API 中是否有一些东西可以让我在存储 cookie 后重定向，或者其他方法？

谢谢！

HTTP请求代码：

通过单击按钮调用此请求。如果我返回该按钮所在的页面然后再次单击它，我将始终登录，因为从第一次单击时就已经设置了 cookie。

我们的一位客户对我们的应用程序进行了渗透测试，并报告在使用 cookie 时缺少标志。

在设置 cookie 时，我们应该始终使用httpOnly和secure标记。

经过一些测试，我意识到 cookie 在设置时实际上使用了这个标志，但有一个例外：注销。

注销时，一些 cookie 设置了过去的到期日期，以删除该 cookie cookie，secure并且httpOnly未被使用。

这是否代表安全风险？设置过期 cookie 时设置这些标志是否有意义？

我有一个在 Tomcat 7 服务器上运行的 Web 应用程序。默认情况下，带有会话 id 的 cookie 具有标志HttpOnly和Secure. 我想为JSESSIONIDcookie 禁用这个标志。但它不会工作。我已经在我的web.xml文件中更改了它，但它不起作用。

我知道这是一个安全风险，因为如果攻击者找到了 xss 漏洞，他就能够窃取 cookie 并劫持会话。

JSESSIONIDcookie 应该使用 HTTP 和 HTTPS 以及 AJAX 请求发送。

编辑：

我HttpOnly通过向文件添加以下选项成功禁用了该标志conf/context.xml：

我有一个 phonegap 应用程序，它使用 ajax 和 cookie 与服务器进行通信以进行会话管理。

我需要在客户端访问 cookie。我试过了：

但是，这会导致一个空字符串。

我知道 cookie 已设置，因为客户端与之通信的服务器可以看到它们。

起初我认为它是空的，因为我从不同的 js 文件访问 document.cookie，但即使从发出 ajax 请求的同一个文件中，我也会得到一个空字符串。

通过 Chrome 的 Resources->cookies->localhost 我看到 cookie 确实存在。

我检查了服务器 HttpOnly 标志是否设置为 true，但事实并非如此。

有任何想法吗？

谢谢！

编辑：

我找到了这个插件：
https ://github.com/carhartl/jquery-cookie

但是，这也会导致空字符串。

我的机器上安装了 xampp 服务器。(php v5.3) 我在上面放了一个网站。它是用 php 编写的。它与 cookie (PHPSESSIONID) 一起使用。源代码是加密的。有没有办法知道这个网站的源代码中是否设置了 HTTPOnly 字段？问题是服务器覆盖了 php.ini 中 HTTPOnly 的值。

My architect tells me that when using Apache to Front-end WebLogic, WebLogic can't set the Secure flag in the cookies. Why is that?

We are using Apache to create FIPS 140-2 compliant HTTPS connections.

Update: The reason given is that "The cookie is set by WebLogic, not Apache, because it needs to tie back to a WebLogic session." Does WebLogic not support setting the Secure flag?

最近我们在我们的一个 ASP.NET 应用程序中进行了安全扫描（IBM AppScan），它报告了一个中等漏洞，如下所示

会话标识符未更新
严重性：中等
风险：可能会窃取或操纵客户会话和 cookie，这些会话和 cookie 可能被用来冒充合法用户，允许黑客查看或更改用户记录，并以该用户身份执行交易
原因：不安全的 Web 应用程序编程或配置。

ASP.NET 工具的建议修复是

对于不为 sessionid cookie 生成新值的平台（例如 ASP），请使用辅助 cookie。在这种方法中，将用户浏览器上的辅助 cookie 设置为随机值，并将会话变量设置为相同的值。如果会话变量和 cookie 值不匹配，则使会话无效，并强制用户再次登录。

我们为我们的应用程序安装了 SSL 证书，并确保所有 cookie（会话、身份验证和 AntiForgeryToken）都是安全的（RequireSSL="True"）-HttpOnly 并且还实施了 Microsoft 的 Microsoft 缓解 CSRF 漏洞的建议，如Microsoft CSRF Fix中所述。

我的问题是，即使使用 SSL 证书和流量超过 Https，仍然可以劫持会话吗？并且由于我已经在使用辅助 Secure-Httponly cookie（AntiForgeryToken），我还需要做什么才能使应用程序更安全？

供您参考的代码块如下：

在这里，在访问响应时，我遇到了以下异常：

这似乎是由 cookie 标头中的 Httponly 位引起的，因为它不是键值对的形式。有什么方法可以在读取响应时避免 cookie 标头或 cookie 检查？请帮忙。

提前致谢。