如何用 cookie 的 HttpOnly 与 Secure 属性防范 XSS 攻击

原创 于 2026-04-26 19:21:05 发布 · 50 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#python #数据库 #jvm

HttpOnly 和 Secure 属性协同防护 Cookie:HttpOnly 禁止 JavaScript 读取 Cookie 防 XSS 窃取,Secure 强制仅 HTTPS 传输防 MITM 截获;二者必须同时启用,并配合 SameSite(Lax/Strict)增强安全。HttpOnly 和 Secure 是 Cookie 的两个关键安全属性,它们不能阻止 XSS 攻击本身,但能显著限制 XSS 成功后的危害——尤其是防止攻击者窃取会话 Cookie。HttpOnly:阻断 JavaScript 读取敏感 Cookie启用 HttpOnly 后,浏览器禁止 JavaScript(包括 document.cookie、XMLHttpRequest、Fetch)访问该 Cookie。即使页面存在 XSS 漏洞,攻击者注入的脚本也无法通过 document.cookie 获取到带此属性的 Cookie(如 sessionid)。注意:HttpOnly 只影响“读取”,Cookie 仍会在后续请求中由浏览器自动携带发送给服务端,不影响正常登录态维持。后端设置示例(Node.js/Express):res.cookie('sessionid', 'abc123', { httpOnly: true, secure: true, sameSite: 'lax' }); PHP 示例:setcookie('sessionid', 'abc123', [ 'httponly' => true, 'secure' => true, 'samesite' => 'Lax' ]) 务必为所有含认证信息的 Cookie(如 session、auth_token)启用 HttpOnlySecure:确保 Cookie 仅通过 HTTPS 传输Secure 属性强制浏览器只在 HTTPS 协议下发送该 Cookie。这可防止 Cookie 在 HTTP 明文传输中被中间人(MITM)窃听或劫持。 幻导航网 发现优质实用网站,开启网络探索之旅!

Greyson1
关注
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
ABAP Platform 用户认证单点登录,S/4HANA 项目里的安全入口设计
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
06-17 6443
SAP S/4HANA 认证机制深度解析:从基础登录到企业级SSO 本文系统梳理了SAP ABAP平台的认证机制及其应用场景。文章指出,登录环节常被低估却至关重要,涉及业务访问、系统安全和用户体验的平衡。详细分析了多种认证方式的特点: 基础密码认证:需结合TLS/SSL确保安全,表单登录更适合用户交互 X.509证书认证:基于PKI体系,实现强身份验证但需完善吊销机制 Logon Ticket:传统SSO方案,存在DNS域限制和灵活性不足问题 SNC:为SAP GUI和RFC提供安全通信层 Kerberos
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
Cookie中的HttpOnly属性XSS攻击
AGreatLoser
06-27 7583
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookiehttponly和samesite属性
限制访问CookieHttpOnly的作用
你若盛开,清风自来
12-21 1726
🤍 前端开发工程师、技术日更博主、已过CET6🍨、23年度博客之星前端领域TOP1🕠高级专题作者、打造专栏🍚签约作者、上架课程💬 前些天发现了一个巨牛的,通俗易懂,风趣幽默,忍不住分享一下给大家。。
HttpOnly是什么?如何绕过HttpOnly属性获取Cookie信息?
2501_91606508的博客
04-12 3415
HttpOnly 是一种用于提升 Web 应用安全性的 Cookie 属性,目的是防止通过 JavaScript(如 XSS 攻击)直接访问用户的 Cookie。启用后,document.cookie 无法读取该 Cookie。 虽然 HttpOnly 能防止直接获取,但在某些特殊环境或配置错误下,攻击者仍可能间接利用或“侧向获取” Cookie
怎样获取和使用httponly=1的Cookie
08-15 8724
1、传统方法不能获取到完整的Cookie 在我们访问网站时,网站把用户数据保存在Cookie中,Cookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。 2、httponly是什么Cookie 对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...
Cookie的所有属性详解
风吹过的博客
08-05 1万+
Cookie 本文将会讲一下Cookie 的各种属性 下图是浏览器中的Cookie截图,属性分别有Name、Value、Domain、Path、Expires/Max-age、Size、HttpOnlySecure、SameSite和Priority。   Name和Value Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据
无法通过document.cookie获取到cookie,但是却可以在控制台看到。
m0_72436362的博客
06-26 3511
cookie是从后端设置的,所以为了安全问题,设为了true,但也带来了一个问题,无法通过js脚本来获取该cookie,只能看得到,但是你获取不到。但是虽然设置了httponly为true,网络请求还是可以正常携带发送的,因为这个属性本质上就是为了防止一些脚本和xss攻击的。setcookie 第七个属性就是设置 httponly 的,设置后无法通过 js 脚本获取。刚刚发现的一个问题,发现document.cookie无法获取到某些cookie
CookieHttpOnly属性:作用、配置前后端分工
最新发布
weixin_43172311的博客
07-07 2601
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
Cookie中的httponly属性和作用
热门推荐
欢迎
09-10 5万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookieXSS全...
【前端安全】cookie中如果给某个字段设置了HttpOnly会怎么样?
xingyu_qie的专栏
07-20 2105
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值