您的位置:首页 > 编程学习 > Web

cookie httponly属性

更多 2016/12/21 来源:Web学习浏览量:194
学习标签: cookie
本文导读:将cookie设置成HttpOnly是为了有效的防止XSS攻击,即:防止设置了该标志的cookie被JavaScript读取,窃取cookie内容,这样就增加了cookie的安全性,即便设置了httponly属性,也不要将重要信息存入cookie。

如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击,httponly属性默认值是false。

但是,也可以看到HttpOnly并不是万能的,首先它并不能解决XSS的问题,仍然不能抵制一些有耐心的黑客的攻击,甚至一些基于XSS的proxy也出现了,但是已经可以提高攻击的门槛了,起码XSS攻击不是每个脚本小子都能完成的了,而且其他的那些攻击手法因为一些环境和技术的限制,并不像Cookie窃取这种手法一样通用。

 

C#中设置Cookie "HttpOnly"属性的方法

 

HttpCookie myCookie = new HttpCookie("myCookie");  
myCookie.HttpOnly = true;  
Response.AppendCookie(myCookie);

 

收藏
33
很赞
329
您可能感兴趣