Cookie的Secure属性和HttpOnly属性
2024-08-25 06:10:00
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。
Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。
例子是:
前提条件:https://localhost:9102应用对cookie设置了Secure=true
1. 访问 https://localhost:9102/manager
2. 输入用户名、密码,用IE或者Chrome的developer tool会看到response的header里,set-cookie的值里有Secure属性
3. 登录后,继续访问https://localhost:9102/manager#user,可以正常看到内容
4. 修改url,访问http://localhost:9100/manager#domain,会跳转到登录页面,因为cookie在http协议下不发送给服务器,服务器要求用户重新登录
最新文章
- sessionState详解
- 深入理解javascript事件流
- JAVA中取子字符串的几种方式
- 增长xx%带来什么信息?
- Visual studio 2013安装及单元测试
- DEDECMS中,获取面包屑导航
- Codeforces Round #323 (Div. 1) B. Once Again... 暴力
- java实现网页爬虫
- 白盒测试实践-day02
- Git 切换本地分支 切换远程分支
- 【软件需求工程与建模 - 小组项目】第6周 - 成果展示2 - 软件需求规格说明书V4.3
- python第七天-作业[购物车]
- Java多线程:CAS与java.util.concurrent.atomic
- 获取Sqlserver上一句语句执行后受影响的行数@@rowCount
- 山东省第四届acm解题报告(部分)
- python_程序模拟浏览器请求及会话保持
- netty答题
- python 按行读取判断是否为空
- 用redis统计大量用户的登陆情况[只判断是否活跃]
- Math 类的使用(一小部分)