jjzjj

HTTPOnly

全部标签

java - 关闭 HttpOnly Spring 启动

我想关闭我认为是SpringBoot默认的HttpOnlysession。如何在SpringBoot上关闭HttpOnly?我目前有如下代码:@RequestMapping(value="/stuff",method=GET)public@ResponseBodymyObjectdoStuff(HttpSessionsession){session.setAttribute("foo","bar");returnnewMyObject();}这会在HTTP调用上返回一个响应header:Set-Cookie:JSESSIONID=D14846D9767B6404F1FB4B013AB6
HttpOnlySpringcodesectionhttpProtocoljavaspring-boot

java - 关闭 HttpOnly Spring 启动

我想关闭我认为是SpringBoot默认的HttpOnlysession。如何在SpringBoot上关闭HttpOnly?我目前有如下代码:@RequestMapping(value="/stuff",method=GET)public@ResponseBodymyObjectdoStuff(HttpSessionsession){session.setAttribute("foo","bar");returnnewMyObject();}这会在HTTP调用上返回一个响应header:Set-Cookie:JSESSIONID=D14846D9767B6404F1FB4B013AB6
HttpOnlySpringcodesectionhttpProtocoljavaspring-boot

php - 没有设置 HttpOnly 标志的 session Cookie

我刚刚建立了一个带有登录系统的网站。准备就绪后,我用Acunetix扫描了它,但收到以下消息:没有设置HttpOnly标志的sessionCookie没有设置安全标志的sessionCookie(我想这仅在我有SSL连接时)所以我的问题是,如何为我的所有session数据设置HttpOnly标志?我只是在登录用户时使用session。我用他们的用户ID号给他们一个session,然后我使用该用户ID获取数据。有没有什么简单的方法可以设置所有sessionHTTPOnly并保护它们,所以没有人可以触摸它们? 最佳答案 您可以更改php
HttpOnlysessionsectioncodephpjavascriptapachesecurity

php - 在 Laravel 中为 CSRF token 设置 httpOnly 标志

我正在为客户在Laravel5.1中构建应用程序。在我完成应用程序后,我得到了一份渗透测试报告,告诉我添加一个HttpOnly标志。我在app/config/session.php中添加了'secure'=>true和'http_only'=>true。除了XSRF-TOKENsession之外,所有session都设置了httpOnly标志。我怎样才能设置这个标志呢? 最佳答案 您可以覆盖App\Http\Middleware\VerifyCsrfToken中的addCookieToResponse($request,$respo
httpOnlyLaravelsectionresponsesessionphpcsrflaravel-5.1

php - cURL cookiejar 行用#HttpOnly_ 注释掉了吗?

我正在尝试使用cURL从同一域的不同页面登录PunBB论坛。登录时,cURL被执行,其初始响应是论坛的“成功登录”页面。然而,当点击该论坛中的任何链接时,没有设置任何cookie,并且我已注销。经过一些调查后,我的cookiejar文件提到了登录所需的cookie。如果我在我的浏览器中手动创建此cookie及其值,我将成功登录并且一切正常。所以存储的cookie值是正确的。然而,cookiejar中包含我的cookie名称/值的行被注释掉了。第一个问题:为什么?第二:如何防止这种行为?这是我的cookiesjar:#NetscapeHTTPCookieFile#http://curl.
cookiejarHttpOnly39curlcurl_setoptphp

java - 如何为 Java Web 应用程序设置 httponly 和 session cookie

我正在处理XSS(跨站点脚本)问题。我的应用程序在OracleWeblogic门户上运行。我们使用Servlet2.5版。我在过滤器中添加了以下3行代码以设置httponly和安全cookie,它工作正常。Stringsessionid=req.getSession().getId();res.setHeader("Set-Cookie","JSESSIONID="+sessionid+";HttpOnly");res.setHeader("SET-COOKIE","JSESSIONID="+sessionid+";secure");问题是当我在同一个浏览器中注销并立即登录时。我能够登
何为httponlysectionsessioncookiejavasecurityxss

python - 如何在 Tornado 中设置 'secure' 和 'httponly' cookie?

我有一个Tornado应用程序,它使用GoogleOauth2.0身份验证,获取电子邮件并将其设置在cookie中。现在我不希望任何其他人访问此cookie、复制值并在我的应用程序上获取其他用户的详细信息。所以我想制作这个cookiehttponly和securecookie。但是,当我将这些作为参数传递时,它无法设置cookie:self.set_secure_cookie('trakr',email,secure=True,httponly=True)我起诉Tornado3.2.2和Python2.7.5。由于无法设置cookie,它一直重定向到google授权页面。这是我的代码:
中设ampcookie39codepythoncookiestornado

javascript - 如何使用 JavaScript 读取 HttpOnly cookie

编辑“安全cookie”的含义不明确。澄清一下:安全如通过https://协议(protocol)发送-即。cookie不以明文形式发送。被称为“安全标志”安全,因为在cookie中运行的Javascript无法读取浏览器——即。document.cookie将不起作用。称为“HttpOnly”标志。此编辑是为了澄清原始问题是关于第二种情况的。原始问题有没有办法用JavaScript读取安全cookie?我尝试使用document.cookie来做到这一点,据我所知thisarticleaboutsecurecookiesandHttpOnlyflag,我无法通过这种方式访问​​安全c
javascriptstrongnoreferrercookiesecuritycookies

php - 在 PHP 中设置 httpOnly 并保护 PHPSESSID cookie

在PHPSESSIDcookie上设置httponly和安全标志的推荐方法是什么?我找到了http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-httponly.有更好的建议吗?谢谢 最佳答案 ini_set('session.cookie_httponly',1);moreinformationhere在PHP文档上 关于php-在PHP中设置httpOnly并保护PHPSESSIDcooki
中设PHPSESSIDsectionsessioncookiephpsecuritysession-cookies

java - 使用 javax.servlet 2.5 设置 httponly cookie

这是一个设置cookie的函数:publicvoidaddCookie(StringcookieName,StringcookieValue,IntegermaxAge,HttpServletResponseresponse){Cookiecookie=newCookie(cookieName,cookieValue);cookie.setPath("/mycampaigns");cookie.setSecure(isSecureCookie);cookie.setMaxAge(maxAge);response.addCookie(cookie);}我相信servlet3.0,有办法直
httponlyservletcookiesectioncodejavacookiescookie-httponlyservlet-2.5
12345