HttpOnly 标志–保护 Cookies 免受 XSS 攻击

最新推荐文章于 2025-06-06 00:53:44 发布
最新推荐文章于 2025-06-06 00:53:44 发布
阅读量2.2k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuqinhou/article/details/131061143
HttpOnly是一种设置在cookie中的属性,防止JavaScript访问,降低XSS攻击风险。当HttpOnly标志启用时,浏览器不会允许通过JS读取cookie,从而保护会话信息不被恶意脚本窃取。此外,文章还提到了安全标志,用于确保cookie仅在HTTPS连接中传输,增加安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.什么是HttpOnly?

        如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,只能通过http方式获取cookie。

        如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。

跨站点脚本(XSS)攻击通常旨在窃取会话Cookie。

        在这种攻击中,cookie值由使用JavaScript (document.cookie)的客户端脚本访问。但是,在日常使用中,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种防止cookie被盗的方法:一个告诉web浏览器只能通过HTTP访问cookie的标志——HttpOnly标志。

        该的HttpOnly标志不是新的。它最初于2002年在Microsoft Internet Explorer 6 SP1中实现,以防止敏感信息被盗。当前,每个主流浏览器都支持HttpOnly cookie。

HttpOnly如何工作?

        HttpOnly属性是Set-Cookie HTTP响应头的一个可选属性,在HTTP响应中,web服务器将该属性与web页面一起发送到web浏览器。下面是一个使用Set-Cookie头设置会话cookie的例子:

HTTP/2.0 200 OK Content-Type: text/html Set-Cookie: sessionid=QmFieWxvbiA1

        上面的会话cookie没有受到保护,可以在XSS攻击中被盗。但是,如果会话cookie设置如下,则可以防止使用JavaScript对其进行访问:

Set-Cookie: sessionid=QmFieWxvbiA1; HttpOnly

如何设置HttpOnly服务器端?

        所有现代的后端语言和环境都支持设置HttpOnly标志。这是一个如何使用setcookie函数在PHP中执行此操作的示例:

setcookie("sessionid", "QmFieWxvbiA1", ['httponly' => true]);

        最后一个值(true)表示设置HttpOnly属性。

安全Cookie的其他标志

        HttpOnly标志不是您可以用来保护cookie的唯一标志。这里还有两个有用的方法。

安全标志
        该安全标志被用于声明该cookie可能仅使用安全连接来发送(SSL / HTTPS)。如果设置了此cookie,那么如果连接是HTTP,浏览器将永远不会发送该cookie。该标志防止通过中间人攻击盗窃cookie 。

        请注意,只能在HTTPS连接期间设置此标志。如果是在HTTP连接期间设置的,则浏览器将忽略它。

        .....

参考文章:

HttpOnly 标志–保护 Cookies 免受 XSS 攻击 - 网安

https://www.cnblogs.com/softidea/p/6040260.html

HttpOnly是个什么鬼 - 简书

Cookie中HttpOnly的使用方式以及用途_cookie httponly_好事总会发生在下个转弯的博客-CSDN博客

Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4245
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookiehttponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
热门推荐
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
浏览器中的HttpOnly是什么
常备不懈
03-29 3695
HttpOnly标志是一个安全特性,由服务器通过设置在HTTP响应头中的`Set-Cookie`字段来启用。启用后,它告诉浏览器这个特定的Cookie应该对客户端的JavaScript代码不可访问,以防止例如跨站脚本(XSS)的攻击者通过脚本窃取Cookie信息。虽然HttpOnly不是全面防护措施,但它显著增加了攻击者盗取用户会话的难度。
利用“Cookie夹心”技术窃取HttpOnly Cookie的奥秘
最新发布
vortex5的博客
06-06 828
摘要: "Cookie夹心"是一种绕过HttpOnly限制的技术,通过构造含特殊字符的Cookie,诱导服务器错误解析。攻击者在存在XSS漏洞的页面中,设置夹带目标Cookie(如PHPSESSID)的伪造Cookie,利用服务器反射漏洞获取敏感值。该技术依赖特定服务器(如Apache Tomcat的RFC2109模式)的解析缺陷,需配合反射型XSS或CORS漏洞实现。防御建议包括禁用遗留Cookie解析、严格输入验证及加强CORS配置。
Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2499
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
HttpOnly 标志——保护 Cookie 免受 XSS
allway2的博客
08-02 3483
然而,在日常使用中,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种保护cookie免受此类盗窃的方法一个标志,告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie,如果连接是HTTP,浏览器将永远不会发送cookie。HTTP响应标头的可选属性,由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie,具体取决于访问者与设置cookie的站点的交互方式。...
HttpOnly Cookie 标志
allway2的博客
08-02 1224
只要您不运行javascript来收集网站流量数据或分析,那么您就可以使用HttpOnly为您的网站提供额外的保护层。HttpOnly标志似乎是保护网站上所有cookie信息的可靠方法,那么为什么不简单地将每个cookie标记为HttpOnly呢?与看起来不错的想法相反,有一些值得注意的例外情况是你不应该依赖这个HTTPcookie标志保护——它们都与javascript有关。cookie标志通常添加到可能包含有关用户的敏感信息的cookie中。...
Java项目中XSS攻击预防策略详解
资源摘要信息:"Java预防XSS攻击" ...Java开发者的责任是理解XSS攻击的原理,掌握并正确使用上述方法,来保护应用免受这类攻击的影响。此外,持续的安全意识和定期的安全培训也是提高整体安全性的重要组成部分。
【Dash安全性加固指南】:5个步骤保护你的应用免受网络攻击
[【Dash安全性加固指南】:5个步骤保护你的应用免受网络攻击](https://www.dnsstuff.com/wp-content/uploads/2019/10/role-based-access-control-1024x536.jpg) # 1. Dash应用安全性基础 在开发和部署 Dash 应用时...
跨站脚本攻击XSS):防范之道与实战指南
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-12 804
跨站脚本攻击是一种注入攻击攻击者通过在Web页面中插入恶意脚本,当用户浏览该页面时,脚本将在用户的浏览器环境中执行,从而盗取用户数据、破坏网站功能或进行其他恶意活动。
HttpOnly Cookie 怎么讲
larance的挨踢生活
11-30 803
HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookieHttpOnly背后的相关议题是:当网站存在跨站脚本攻击XSS)漏洞时,黑客通过执行脚本获得cookie时被阻止,从而在根本上杜绝这种类型的攻击。 当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。当然也有前提:使用新版的浏览器。HttpOnly Cookie 最初由 Micr
利用HttpOnly来防御xss攻击
weixin_34261415的博客
05-19 323
2019独角兽企业重金招聘Python工程师标准>>> ...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 6061
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
HTTPONLY
wangbaosongmsn的博客
03-25 401
Cookie设置HttpOnly属性 - 云+社区 - 腾讯云 (tencent.com) (44条消息) Cookie中的httponly的属性和作用_YG青松的博客-CSDN博客_httponly Cookie设置HttpOnly属性-阿里云开发者社区 (aliyun.com)
XSS HTTP-only
luojinbai的专栏
02-28 1059
装载自: http://itlab.idcquan.com/security/wlaq/777263.html在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie.我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only coo
我如何设置一个http only的cookie
m0_57236802的博客
08-15 4141
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
HTTPonly属性
weixin_34004576的博客
06-28 688
11111111 转载于:https://www.cnblogs.com/Chamberlain/p/11104807.html
网络安全-HttpOnlyCookies
weixin_34026484的博客
07-21 220
未启用 HttpOnly,×××者就能更容易地访问用户 cookie,会造成XSS××× 在web.xml里加入这个启用即可<session-config> <cookie-config> <http-only>true</http-only> </cookie-config> </session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值