Cookie中的HttpOnly属性介绍

2019年7月4日14:07:54 3 270

HttpOnly属性介绍

如果您在cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请自行Google进行搜索学习。

HttpOnly属性代码

java

  1. //设置cookie
  2. response.setHeader("Set-Cookie""JSESSIONID=" + sessionid + ";Secure;HttpOnly")//设置Secure;HttpOnly
  3. response.setHeader("x-frame-options""SAMEORIGIN");//设置x-frame-options

C#

  1. HttpCookie myCookie = new HttpCookie("myCookie");
  2. myCookie.HttpOnly = true;
  3. Response.AppendCookie(myCookie);

VB.NET

  1. Dim myCookie As HttpCookie = new HttpCookie("myCookie")
  2. myCookie.HttpOnly = True
  3. Response.AppendCookie(myCookie)

但是在 .NET 1.1 ,中您需要手动添加

  1. Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4(对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了)

  1. header("Set-Cookie: hidden=value; httpOnly");

PHP5(PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中设置,设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性)

  1. session.cookie_httponly =

当然代码也能实现:

  1. ini_set("session.cookie_httponly", 1);
  2. // or
  3. session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

最后一个参数为HttpOnly属性.

weinxin
微信公众号
博客微信公众号,欢迎关注。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:3   其中:访客  3   博主  0

    • avatar 小王先森 5

      这有点深奥了。学习一下

      • avatar 影视原著小说 2

        我的网站就被XSS攻击过

        • avatar 子午物联网 2

          XSS很讨厌,这个属性很好啊