cookie的secure属性

今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。

顾名思义,这个属性就是用来保证cookie的安全的。

当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。

简单实践一下,chrome浏览器打开https://www.baidu.comhttp://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2)

1. 先在console1中输入以下代码

document.cookie = "name=EX;expires=60*24*7;secure=true";

接着,打开Resources,就可以看到cookie中已经记录了相应的字段

2. 在console2中进行同样的操作,这时去看看http协议下百度页面的Resources,就会发现,name字段并没有上传到服务器

3. 那如果我把secure设为false呢?

以本文百度这个为例,设为false的结果就是无论你在哪个协议下的百度页面设cookie,那么两边的百度页面的cookie中都可以看到该字段。

也就实现了cookie的跨协议传递,但同时就存在了一定几率的被窃听的风险。

时间: 2024-10-06 12:25:25

cookie的secure属性的相关文章

IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法

问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true: 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web>  <httpCookies httpOnlyCookies="true" requireSSL="true" /><system.

Session Cookie的HttpOnly和secure属性

Session Cookie的HttpOnly和secure属性 一.属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容. 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本.Applet等)将无法读取到Cookie信息,这样能有效

cookie的secure、httponly属性设置

cookie的secure.httponly属性设置 转载自:http://www.cnblogs.com/alanzyy/archive/2011/10/14/2212484.html 一.属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容. 2 HttpOnly属性 如果在Cookie中

浅谈HTTP Cookie 的 Secure 和 HTTPONLY属性

最近工作中遇到了关于cookie的secure及httponly属性的问题,所以关注并学习了一段时间,这里做一下简要记录.关于secure和httponly标志的用途可以参考wikipedia. 起因:系统PHP升级(5.1.7->5.4.5)并要求在下个升级后更新/etc/php.ini下的两个变量,设定值为1. Session.cookie_secure=1 Session.cookie_httponly=1 由此引发了这次调查,调查的内容涉及到了php自身cookie函数.开源框架Code

cookie 设置 httpOnly属性

cookie 设置 httpOnly属性防止js读取cookie. 建立filter拦截器类 CookieHttpOnlyFilter import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.serv

Cookie对象常用属性

Expires  1.过期时间,定cookie的生命期. 2.具体是值是过期日期.如果想让cookie的存在期限超过当前浏览器会话时间,就必须使用这个属性.当过了到期日期时,浏览器就可以删除cookie文件,没有任何影响. Path 1.路径,指定与cookie关联的WEB页. 2.值可以是一个目录,或者是一个路径.如果/head/index.html 建立了一个cookie,那么在/head/目录里的所有页面,以及该目录下面任何子目录里的页面都可以访问这个cookie.这就是说,在/head/

cookie的expires属性和max-age属性

expires属性 指 定了coolie的生存期,默认情况下coolie是暂时存在的,他们存储的值只在浏览器会话期间存在,当用户推出浏览器后这些值也会丢失,如果想让 cookie存在一段时间,就要为expires属性设置为未来的一个过期日期.现在已经被max-age属性所取代,max-age用秒来设置 cookie的生存期. path属性 它指定与cookie关联在一起的网页.在默认的情况下cookie会与创建它的网页,该网页处于同一目录下的网页以及与这个网页所在目录下的子目录下的网页关联. d

PHP设置COOKIE的HttpOnly属性

httponly是微软对cookie做的扩展.这个主要是解决用户的cookie可能被盗用的问题.    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样 就实现了一次登陆就可以看到所有需要登陆后才能看到的内容.也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的 cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不

cookie设置httponly属性防护XSS攻击

攻击者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,攻击这里用获取的COOKIE登陆账号,并进行非法操作. COOKIE设置httponly属性可以化解XSS漏洞攻击带来的窃取cookie的危害. PHP中COOKIE设置方法: <?php setcookie("xsstest", "xsstest", time()+3600, "/", "", false