哪些浏览器支持HttpOnly cookies,以及哪个版本? 请参阅http://www.codinghorror.com/blog/archives/001167.html关于HttpOnly cookie和XSS预防的讨论。
受此CodingHorror文章的启发,“ 保护您的Cookie:HttpOnly ” 你如何设置这个属性? 在networkingconfiguration的某处?
我如何在我的PHP apps设置Cookie作为HttpOnly cookies ?
如果在基于cookie访问限制的网站上使用AJAX,则JavaScript需要访问Cookie。 HttpOnly Cookie是否可以在AJAX网站上运行? 编辑:微软创build了一种方法来防止XSS攻击,如果指定HttpOnly,则不允许JavaScript访问cookie。 火狐后来通过这个。 所以我的问题是:如果您在站点上使用AJAX,如StackOverflow,Http专用cookie是一个选项? 编辑2:问题2.如果HttpOnly的目的是为了防止JavaScript访问cookie,并且您仍然可以通过JavaScript通过XmlHttpRequest对象检索cookie, 那么HttpOnly有什么意义? 编辑3:这里是来自维基百科的引用: 当浏览器收到这样一个cookie时,应该像以往一样在以后的HTTP交换中使用它,但是不要让它在客户端脚本中可见[32]。 HttpOnly标志不是任何标准的一部分,并没有在所有浏览器中实现。 请注意,目前没有阻止通过XMLHTTPRequest读取或写入会话cookie。 [33]。 我知道document.cookie在使用HttpOnly时被阻塞。 但是,似乎仍然可以读取XMLHttpRequest对象中的cookie值,从而允许XSS。 HttpOnly如何让你更安全? 通过使cookie基本上只读? 在你的例子中,我不能写入你的document.cookie ,但我仍然可以窃取你的cookie,并使用XMLHttpRequest对象将其发布到我的域。 <script type="text/javascript"> var req = null; try { req = new XMLHttpRequest(); } catch(e) {} if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {} if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) […]
在阅读Jeff的博客文章“ 保护您的Cookie:HttpOnly”之后 。 我想在我的Web应用程序中实现HttpOnly cookie。 你如何告诉tomcat使用仅用于会话的http cookie?