Cookie 的 httpOnly 和 Secure 属性

avatar 2022年11月07日11:40:41 0 90 views
博主分享免费Java教学视频,B站账号:Java刘哥

最近测试人员在提安全测试问题的时候,提了一堆 Cookie 相关的问题

比如没有设置 httpOnly 和 Secure

我这里说明下

 

我们的项目是前后端分离的

前端才有 js-cookie 组件来设置cookie

 

Cookie主要目的是前端用来存储登录成功后返回的 token 值,当然也有人存在 localStorage 里也是 ok 的

 

httpOnly

httpOnly表示客户端(浏览器、JS)不能设置这个属性,只能由后台 response 创建

对于我们前后端分离的项目,肯定是设置不了这个属性的

 

Secure

secure表示必须在 https 协议下才能操作或查看这个 Cookie 值

通常情况,我们也是几乎不会设置这个属性

 

 

  • 微信
  • 交流学习,有偿服务
  • weinxin
  • 博客/Java交流群
  • 资源分享,问题解决,技术交流。群号:590480292
  • weinxin
avatar

发表评论

avatar 登录者:匿名
可以匿名评论或者登录后台评论,评论回复后会有邮件通知

  

已通过评论:0   待审核评论数:0