博主分享免费Java教学视频,B站账号:Java刘哥
最近测试人员在提安全测试问题的时候,提了一堆 Cookie 相关的问题
比如没有设置 httpOnly 和 Secure
我这里说明下
我们的项目是前后端分离的
前端才有 js-cookie 组件来设置cookie
Cookie主要目的是前端用来存储登录成功后返回的 token 值,当然也有人存在 localStorage 里也是 ok 的
httpOnly
httpOnly表示客户端(浏览器、JS)不能设置这个属性,只能由后台 response 创建
对于我们前后端分离的项目,肯定是设置不了这个属性的
Secure
secure表示必须在 https 协议下才能操作或查看这个 Cookie 值
通常情况,我们也是几乎不会设置这个属性
- 微信
- 交流学习,有偿服务
-
- 博客/Java交流群
- 资源分享,问题解决,技术交流。群号:590480292
-
您可以选择一种方式赞助本站
支付宝扫一扫赞助
微信钱包扫描赞助
赏