开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

，谁设置了HttpOnly头？

HttpOnly头是由服务器设置的，用于指示浏览器不允许通过脚本访问cookie。它的作用是增加网站的安全性，防止跨站点脚本攻击（XSS）。

HttpOnly头的设置可以通过在HTTP响应中添加"Set-Cookie"标头来实现。例如，以下是一个设置HttpOnly头的示例：

Set-Cookie: sessionid=123456789; HttpOnly

在这个示例中，"sessionid"是cookie的名称，"123456789"是cookie的值。通过添加"HttpOnly"参数，浏览器将禁止通过脚本访问该cookie。

HttpOnly头的优势是增加了网站的安全性，防止恶意脚本窃取用户的cookie信息。它可以有效地减少跨站点脚本攻击的风险，提高用户的数据安全性。

HttpOnly头的应用场景包括但不限于：

在网站登录时，设置包含用户身份验证信息的cookie为HttpOnly，以防止恶意脚本获取用户的登录凭证。
在处理敏感数据的页面中，设置相关cookie为HttpOnly，以保护用户的隐私信息。
在使用第三方服务时，设置与该服务相关的cookie为HttpOnly，以防止恶意脚本窃取用户与第三方服务的交互信息。

腾讯云提供了一系列与安全相关的产品和服务，可以帮助用户保护网站和应用程序的安全性。其中，Web应用防火墙（WAF）是一种常用的安全产品，可以帮助用户防御各种网络攻击，包括跨站点脚本攻击。您可以通过访问腾讯云的官方网站了解更多关于Web应用防火墙的信息：https://cloud.tencent.com/product/waf

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

web渗透测试—-33、HttpOnly[通俗易懂]

HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性，用以阻止客户端脚本访问Cookie，至今已经称为一个标准，几乎所有的浏览器都会支持HttpOnly。下面示例显示了HTTP响应标头中HttpOnly使用的语法：

03

HttpOnly是怎么回事？

最近配合公司安全团队开展一些工作，安全团队建议，内部系统（用户端系统有跨域需求，其他方式解决更合适）对接SSO建议开启HttpOnly。HttpOnly？没听说过，赶紧百度一下。

03

java设置httponly,java设置httponly

大家好，又见面了，我是你们的朋友全栈君。 ()+3600*24,””,””,0); setcookie(“TestCookie”,”abcdef”,time()+3600*24,””,””,1); ?

02

【Web技术】238-全面了解Cookie

浏览器和服务器之间的通信少不了HTTP协议，但是因为HTTP协议是无状态的，所以服务器并不知道上一次浏览器做了什么样的操作，这样严重阻碍了交互式Web应用程序的实现。

02

【Web技术】245-全面了解Cookie

浏览器和服务器之间的通信少不了HTTP协议，但是因为HTTP协议是无状态的，所以服务器并不知道上一次浏览器做了什么样的操作，这样严重阻碍了交互式Web应用程序的实现。

01

Session 的 Cookie 域处理（多域名虚拟主机）

2.5.3. Session 的 Cookie 域处理环境 User -> Http2 CDN -> Http2 Nginx -> proxy_pass 1.1 -> Tomcat 背景，默认情况下 tomcat 不会主动推送 Cookie 域，例如下面的HTTP头 Set-Cookie: JSESSIONID=8542E9F58C71937B3ABC97F002CE039F;path=/;HttpOnly 这样带来一个问题，在浏览器中默认Cookie域等于 HTTP_HOST 头（www.

03

一文看懂Cookie奥秘

Cookie是什么？cookies是你访问网站时创建的数据片段文件，通过保存浏览信息，它们使你的在线体验更加轻松。使用cookies，可以使你保持在线登录状态，记录你的站点偏好，并为你提供本地化支持。

05

Go 语言 Web 编程系列（十六）—— 设置、读取和删除 Cookie

介绍完了 Go 语言的 HTTP 请求和响应处理，接下来，我们来看看 Go 语言中 Cookie 技术的实现，由于 HTTP 协议本身是无状态的，所以引入了 Cookie 来实现客户端用户识别和状态管理，关于 Cookie 本身这里不多做介绍，你可以在维基百科或者阅读 HTTP 报文首部字段（五）：扩展字段篇（Cookie）这篇教程了解更多细节。

02

XSS、CSRF、SSRF

XSS，CSRF,SSRF三种常见的Web服务端漏洞均是由于，服务器端对用户提供的可控数据过于信任或者过滤不严导致的。

01

Web安全漏洞之“反射型XSS “漏洞怎么修复

上周麒麟服务器的安全检测报告出炉，其中有一条是“反射型XSS”漏洞，而且显示的是高危漏洞，我对服务器安全认知较少，毕竟一直在用开源程序或者成熟的框架，一些基本的安全都完善了，但是整套源码并没有完善这些，所以还得手动，我就想着安装了服务器防火墙就好了，什么sql注入，常见渗透等攻击都会被阻止，结果我太天真了，我居然以为安装了防火墙就完事了，直到我在宝塔系统安装了防火墙之后才明白，防火墙根本用不了，，，好吧那就手动吧，先看看什么是“反射型XSS”

02

Cookie设置HttpOnly属性

在Servlet 3.0中增加对Cookie（请注意，这里所说的Cookie，仅指和Session互动的Cookie，即人们常说的会话Cookie）较为全面的操作API。最为突出特性：支持直接修改Session ID的名称（默认为“JSESSIONID”)，支持对cookie设置HttpOnly属性以增强安全，避免一定程度的跨站攻击。防止脚本攻击,禁止了通过脚本获取cookie信息,浏览器不会将其发送给任何第三方利用拦截器实现，判断每次请求的响应是否包含SET-COOKIE头部，重写会话Cookie，添加

09

PHP安全配置

在配置文件中，设置display_errors=On，开启了PHP错误显示，在PHP程序遇到错误时，会暴露PHP文件和系统路径，从而容易被威胁，我们需要设置：

01

HTTP Cookie header 中set-cookie格式

有两个Http头部和Cookie有关：Set-Cookie和Cookie。

03

HTTP系列之:HTTP中的cookies

如果小伙伴最近有访问国外的一些标准网站的话，可能经常会弹出一个对话框，说是本网站为了更好的体验和跟踪，需要访问你的cookies，问你同意不同意，对于这种比较文明的做法，我一般是点同意的。

00

HTTP系列之:HTTP中的cookies

如果小伙伴最近有访问国外的一些标准网站的话，可能经常会弹出一个对话框，说是本网站为了更好的体验和跟踪，需要访问你的cookies，问你同意不同意，对于这种比较文明的做法，我一般是点同意的。

02

PHP安全配置

在配置文件中，设置display_errors=On，开启了PHP错误显示，在PHP程序遇到错误时，会暴露PHP文件和系统路径，从而容易被威胁，我们需要设置：

02

HTTPS 安全最佳实践（二）之安全加固

当你的网站上了 HTTPS 以后，可否觉得网站已经安全了？这里提供了一个 HTTPS 是否安全的检测工具，你可以试试。

01

cookie面面观

在前端面试中，有一个必问的问题：请你谈谈cookie和localStorage有什么区别啊？

GO-会话控制

HTTP 是无状态协议，服务器不能记录浏览器的访问状态，也就是说服务器不能区分中两次请求是否由一个客户端发出。这样的设计严重阻碍的 Web 程序的设计。如：在我们进行网购时，买了一条裤子，又买了一个手机。由于 http 协议是无状态的，如果不通过其他手段，服务器是不能知道用户到底买了什么。而 Cookie 就是解决方案之一。

02

【Nginx29】Nginx学习：代理模块（三）缓冲区与Cookie处理

缓冲区的内容还是和 FastCGI 是相似的，测试方式也是相同的，这个咱们就不多说了。另外一个 Cookie 相关的配置指令则是 Proxy 模块所特有的，但其实也就是重写或修改后端响应的 Cookie 中的一些信息，一般来说用得也不是特别多，大家还是以了解的心态来看待。

04

一个比较扯淡的跨域问题

2018-08-27更新：使用cookie前强烈建议先看下MDN的这篇基础文章创建cookie可以配置的选项 Expires，Secure，HttpOnly，Domain，Path，SameSite。为避免跨域脚本 (XSS) 攻击，通过JavaScript的 Document.cookie API无法访问带有 HttpOnly 标记的Cookie，它们只应该发送给服务端。

02

WEB安全

随着技术的不断发展，应用安全会逐渐在各个领域扮演越来越重要的角色。在应用安全为主题角度，相对来说比较全面的指导，OWASP Cheat Sheet Series应该不能不被提及，如下：

02

Session、Cookie、Token三者关系理清了吊打面试官

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

Cookie深度解析

00

实用，完整的HTTP cookie指南

cookie 是后端可以存储在用户浏览器中的小块数据。 Cookie 最常见用例包括用户跟踪，个性化以及身份验证。

04

HTTP cookie 完整指南

cookie 是后端可以存储在用户浏览器中的小块数据。 Cookie 最常见用例包括用户跟踪，个性化以及身份验证。

02

通过XSS跨子域拿到受HttpOnly保护的Cookie

因为浏览器同源策略的关系，只有同协议、域名、端口的页面才能进行交互，否则会被浏览器拒绝。现有两个页面，分别为111.example.com和example.com，两个页面是不同的域名，不能进行交互，但是可以在111.example.com使用以下代码设置同域，这样即可实现一个跨子域的交互。

05

关于快速验证低危与中危漏洞

漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。按照危害也被分为高、中、低三种。

02

看完这篇 Session、Cookie、Token，和面试官扯皮就没问题了

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

如何用 Python 爬取网易云音乐歌单

首先修改配置文件setting.py 1.关闭机器人协议 2.取消禁用cookie的功能

01

Netty应用：快速了解http各版本的特性 HttpServer的小demo

示例： text/html 、 image/png 、 application/pdf 、 video/mp4

02

.net core实践系列之SSO-跨域实现

接着上篇的《.net core实践系列之SSO-同域实现》，这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践，但是核心点使用jquery居多。

03

PHP中的SESSION机制应用

为加强对SESSION的理解，这里通过实现OSChina登录并发表一条动态来说明。

01

Express+FetchAPI 简单实践Cookie

Cookie 用于在客户端存储会话信息。它通过服务器响应请求时，响应头的Set-Cookie字段来设置 Cookie。Cookie 是服务端生成，保存在客户端

02

[译]构建现代Web应用的安全指南

原文：Security for building modern web apps 译者：杰微刊—张迪这篇文章的灵感来自于另一篇文章，它是关于“在今天，构建Web应用之前要知道的事情”的。并不长，但遗漏了一些关于安全性的建议，所以我就此动笔，分享一些这方面的知识。本文重点是写给那些来自初创公司，并且想要从头开始开发一个Web应用的开发者，他们并不知道太多信息安全的知识，也不想花太多时间考虑其应用程序的安全性。一些重要的内容就不在这里讨论了，诸如威胁建模（threat modeling），持续交付安全（co

08

前端须知的 Cookie 知识小结

cookie 是服务器端保存在浏览器的一小段文本信息，浏览器每次向服务器端发出请求，都会附带上这段信息（不是所有都带上，具体的下文会介绍）

01

很全很全的前端本地存储方式讲解

程序员宝库关注即可习得新技能! cookie前言网络早期最大的问题之一是如何管理状态。简而言之，服务器无法知道两个请求是否来自同一个浏览器。当时最简单的方法是在请求时，在页面中插入一些参数，并在下一个请求中传回参数。这需要使用包含参数的隐藏的表单，或者作为URL参数的一部分传递。这两个解决方案都手动操作，容易出错。cookie出现来解决这个问题。作用 cookie是纯文本，没有可执行代码。存储数据，当用户访问了某个网站（网页）的时候，我们就可以通过cookie来向访问者电脑上存储数据，或者某些网站为了辨

05

全面解读HTTP Cookie

今天webryan给team做了一个关于HTTP cookie的分享，从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容，因为维基百科的逻辑实在是很清晰：），ppt就不分享了，把原始的草稿贴出来给大家。欢迎批评指正。

03

保护你的网站免受黑客攻击：深入解析XSS和CSRF漏洞

👋 你好，我是 Lorin 洛林，一位 Java 后端技术开发者！座右铭：Technology has the power to make the world a better place.

02

Cookie

Cookie 是服务器保存在浏览器的一小段文本信息。浏览器每次向服务器发出请求，就会自动附上这段信息。

01

PHP允许前端跨域请求的相关请求头设置、文件下载

CORS 请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。

02

Gin 学习之 cookie 读写

HTTP Cookie（也叫 Web Cookie 或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

01

挖洞经验 | 一个价值$3133.7美金的Google漏洞

在对Google的安全研究中，由于其云服务平台“cloud.google.com” 具备多种功能，感觉有点意思，所以某天我决定来深入测试一下它。

05

Hostonly cookie是什么鬼？

cookie属性之间用;连接；多个cookie设置，产生多次Set-Cookieheader

02

Express4.x API (三)：Response (译)

Express4.x API 译文系列文章技术库更迭较快，很难使译文和官方的API保持同步，更何况更多的大神看英文和中文一样的流畅，不会花时间去翻译--，所以我们看到express中文网更多的还是

reGeorg搭建HTTP隧道和流量分析

reGeorg 的前身是2008年 SensePost 在 BlackHat USA 2008 的 reDuh 延伸与扩展。

02

set-cookie

就设置了一个名为cookie-name，值为cookie-value，路径为/，仅限http请求，过期时间为5秒的cookie

03

XSS的一些基本概念

若两个URL 协议，端口，host都相同，则这两个URL同源。这个方案叫做“协议/主机/端口元组”，或者直接是 “元组”

01

aiohttp 异步http请求-11.ClientResponse 获取响应headers 和cookies

前言 ClientResponse 获取接口返回的headers 和cookies 响应 headers 可以使用 ClientResponse.headers 查看服务器的响应 assert resp.headers == { 'ACCESS-CONTROL-ALLOW-ORIGIN': '*', 'CONTENT-TYPE': 'application/json', 'DATE': 'Tue, 15 Jul 2014 16:49:51 GMT', 'SERVER': 'g

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭