[英]How to know if a cookie is HttpOnly server side
我有一個使用 Spring Boot 的應用程序,我在其中設置了 HttpOnly cookie。 在瀏覽器中,我可以檢查它並看到它設置為 HttpOnly。 有了這個,我避免了客戶端在其上使用 javascript。
但是,在讀取 cookie 時我必須在服務器端做任何事情嗎? 據我所知,我不能使用 javascript 來讀取 cookie,但我仍然可以創建一個非 HttpOnly cookie,其名稱和值與 HttpOnly 相同,只需使用瀏覽器插件即可。 在服務器端,我不需要驗證 cookie 以及它是否是 HttpOnly 嗎?
我已經嘗試通過從請求中獲取 cookie 列表來做到這一點,但似乎所有這些都將不同的字段設置為默認值。 我可以讀取的唯一字段是 cookie 的名稱和值。
這是預期的行為嗎?
這確實是指定的行為。
Set-Cookie Header Set-Cookie諸如HttpOnly信息傳輸到客戶端。 但是從客戶端到服務器的調用使用Cookie標頭,它只包含 cookie 名稱和值(但沒有更多信息)。 因此,服務器無法單獨從Cookie標頭中獲取此信息。 它根本不存在。
這在RFC 6265“HTTP 狀態管理機制”的第 5.4 節“Cookie 標頭”中指定:
4. Serialize the cookie-list into a cookie-string by processing each
cookie in the cookie-list in order:
1. Output the cookie's name, the %x3D ("=") character, and the
cookie's value.
2. If there is an unprocessed cookie in the cookie-list, output
the characters %x3B and %x20 ("; ").
由於缺少信息,通常將其設置為默認值。
關閉瀏覽器窗口時如何刪除 HttpOnly 服務器端會話 cookie
[英]How to delete an HttpOnly server-side session cookie when closing a browser window
如何從設置了HttpOnly標志的瀏覽器中刪除JSESSIONID cookie
[英]How delete the JSESSIONID cookie from the browser with HttpOnly flag set
undestanding secure / httponly cookie如何適用於Java應用程序
[英]Undestanding how secure/httponly cookie works for java applications
如何為 Java Web 應用程序設置 httponly 和會話 cookie
[英]how to set httponly and session cookie for java web application
如何修復 GWT 中的“沒有 httpOnly 的 Cookie 設置”安全問題
[英]How to fix "Cookie set without httpOnly" security Issue in GWT
如何從 Java 中的 post 請求中提取 httponly cookie?
[英]How to extract httponly cookie from a post request in Java?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.