Web 安全 & cookies & HttpOnly
Web 安全 & cookies & HttpOnly
cookie
HttpOnly
禁止 js 读取 cookie 的方法
HttpOnly 实现原理
document.cookie 读不到 cookie, 无法对 HttpOnly 的 cookie 进行任何操作
Web 服务器使用 Set-Cookie header 来设置 cookie
并且,它可以设置 httpOnly 选项。
这个选项禁止任何 JavaScript 访问 cookie。
我们使用 document.cookie 看不到此类 cookie,也无法对此类 cookie 进行操作。
这是一种预防措施,当黑客将自己的 JavaScript 代码注入网页,并等待用户访问该页面时发起攻击,而这个选项可以防止此时的这种攻击。
这应该是不可能发生的,黑客应该无法将他们的代码注入我们的网站,但是网站有可能存在 bug,使得黑客能够实现这样的操作。
通常来说,如果发生了这种情况,并且用户访问了带有黑客 JavaScript 代码的页面,黑客代码将执行并通过 document.cookie 获取到包含用户身份验证信息的 cookie, 这就很糟糕了。
但是,如果 cookie 设置了 httpOnly,那么 document.cookie 则看不到 cookie,所以它受到了保护。
SameSite Cookies
HTTP cookie (web cookie, browser cookie)
An HTTP cookie (web cookie, browser cookie) is a small piece of data that a server sends to the user's web browser.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#SameSite_cookies
Security Cookies
refs
https://zh.javascript.info/cookie#httponly
https://segmentfault.com/a/1190000004556040
https://juejin.im/entry/6844903520076824589
©xgqfrms 2012-2020
www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!
本文首发于博客园,作者:xgqfrms,原文链接:https://www.cnblogs.com/xgqfrms/p/13539754.html
未经授权禁止转载,违者必究!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· .NET10 - 预览版1新功能体验(一)
2019-08-21 js & touch event & swipe
2019-08-21 EventEmitter & custom events
2019-08-21 ES6 Class & super All In One
2019-08-21 Typescript All In One
2019-08-21 promise & async
2019-08-21 ios clipboard duplicate bug
2019-08-21 GitHub & two-factor authentication