1.什么是HttpOnly?

果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

2.HttpOnly的设置样例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如:

//设置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//设置多个cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具体参数的含义再次不做阐述,设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取。

Cookie cookies[]=request.getCookies(); 

Logo
AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐

cover

Hunyuan OCR & Z-Image-Turbo 正式上线!两大模型在 NPU 加速平台完成部署,开启 AI 识图新时代!

avatar AtomGit开源社区
cover

智谱开源天团登陆 AtomGit,4 大模型覆盖多模态全场景!

avatar AtomGit开源社区

[深度评测] Zotero vs. EndNote vs. 沁言学术:下一代科研文献管理与知识生成平台的架构对比与选型指南

然而,随着AI技术的浪潮席卷而来,我们对科研工具的期待正在发生根本性转变——我们不再满足于一个被动的管理器,而是渴望一个能够主动辅助思考、生成洞见的“智能知识工作空间”。本文将从技术架构的视角,深度对比经典代表Zotero/EndNote与新生代平台“沁言学术”,探讨它们在设计哲学、技术实现和未来潜力上的核心差异,并为不同需求的研究者提供一份实用的选型指南。它们将数据处理和智能计算的重心迁移到云端

avatar AtomGit开源社区