开发者社区 > 云原生 > 正文

httponly本来就是禁止js获取的 要么后端去掉httponly 要么重新提供一个专门获取t

httponly本来就是禁止js获取的 要么后端去掉httponly 要么重新提供一个专门获取token的接口

展开
收起
芬奇福贵 2023-05-26 15:40:04 487 0
3 条回答
写回答
取消 提交回答
  • 北京阿里云ACE会长

    您说得很对,HttpOnly 是一种 Cookie 属性,它可以防止浏览器中的 JavaScript 脚本访问带有 HttpOnly 属性的 Cookie,从而提高 Web 应用程序的安全性。

    如果需要在前端获取 HttpOnly Cookie 中的信息,可以考虑提供一个专门的后端接口来获取该信息。该接口应该能够验证用户的身份,以确保只有经过身份验证的用户才能访问该接口。同时,该接口应该返回与 HttpOnly Cookie 中的信息相同的信息,以确保前端能够正确地使用该信息。

    需要注意的是,由于 HttpOnly Cookie 的设计目的是为了提高 Web 应用程序的安全性,因此在去掉 HttpOnly 属性之前,应该仔细评估是否有必要这样做,并采取其他措施来确保 Web 应用程序的安全性。

    HttpOnly 是一种 Cookie 属性,它可以防止浏览器中的 JavaScript 脚本访问带有 HttpOnly 属性的 Cookie,从而提高 Web 应用程序的安全性。HttpOnly 属性是由 Microsoft 发起的,目的是解决跨站点脚本攻击(XSS)的安全问题。

    HttpOnly 的特点包括:

    防止 XSS 攻击:HttpOnly 属性可以防止浏览器中的 JavaScript 脚本访问带有 HttpOnly 属性的 Cookie,从而可以防止恶意脚本窃取用户的 Cookie,并进行跨站点请求伪造(CSRF)攻击。

    可以被浏览器识别:HttpOnly 属性可以被现代浏览器识别并支持,在浏览器端设置 HttpOnly 属性后,浏览器将不允许 JavaScript 脚本访问该 Cookie,从而提高了 Web 应用程序的安全性。

    不影响服务器端访问:HttpOnly 属性只影响浏览器端访问 Cookie,不影响服务器端访问 Cookie。因此,Web 应用程序的服务器端仍然可以访问带有 HttpOnly 属性的 Cookie,从而可以使用该信息来保持用户的会话状态等。

    关于 HttpOnly 的学习资料,以下是一些参考资料:

    HttpOnly Cookies - OWASP:https://owasp.org/www-community/HttpOnly 这是 OWASP 对 HttpOnly 的介绍和说明,包括 HttpOnly 的定义、原理、实现和使用方法等,对于理解 HttpOnly 的特点和应用非常有帮助。

    HttpOnly - MDN Web Docs:https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#define-the-httponly-attribute 这是 MDN Web Docs 对 HttpOnly 的介绍,包括 HttpOnly 的定义、用途、实现方法和示例等,对于理解 HttpOnly 的具体应用和实现有很大帮助。

    HttpOnly Cookies - IBM Developer:https://developer.ibm.com/technologies/security/tutorials/l-httponly-cookies/ 这是 IBM Developer 对 HttpOnly 的介绍和应用案例,涵盖了 HttpOnly 的基本原理、安全性和实现方法,同时也提供了一些实际应用场景和示例,对于深入理解 HttpOnly 的应用和实现有很大帮助。

    HttpOnly Attribute - Microsoft Docs:https://docs.microsoft.com/en-us/previous-versions//ms533046(v=vs.85) 这是 Microsoft 对 HttpOnly 的介绍,包括 HttpOnly 的定义、设计原理和应用场景等,同时还提供了一些示例和代码,对于理解 HttpOnly 的应用和实现有很大帮助。

    The HttpOnly Flag and Cross-Site Scripting - SANS Institute:https://www.sans.org/reading-room/whitepapers/cookietrack/http-only-flag-cross-site-scripting-33298 这是 SANS Institute 对 HttpOnly 的介绍和应用案例,包括 HttpOnly 的作用、实现方法和安全性分析等,对于理解 HttpOnly 的重要性和应用场景有很大帮助。

    以上资料可以帮助您更好地了解 HttpOnly 的特点和应用,以及如何在 Web 应用程序中使用 HttpOnly 来提高安全性。

    2023-05-27 22:16:18
    赞同 展开评论 打赏
  • 只能是专门提供一个获取token的接口了,不然过不了安全检查。

    此答案来自钉钉群“Arthas开源交流群"

    2023-05-26 19:23:40
    赞同 展开评论 打赏
  • 没错,HttpOnly 属性确实可以防止跨站脚本攻击 (XSS),因为浏览器不会让 JavaScript 访问带有 HttpOnly 属性的 cookie。如果您需要在 JavaScript 中访问 cookie,可以选择去掉 HttpOnly 属性或提供一个专门获取token的接口。

    但是需要注意的是,去掉 HttpOnly 属性会增加 Web 应用程序遭受 XSS 攻击的风险,因此,我们建议您仅在确实需要在 JavaScript 中访问 cookie 的情况下才去掉 HttpOnly 属性。此外,如果您需要在多个域名之间共享 cookie,也可以考虑使用基于 OAuth2 的身份验证机制,这可以更安全和更灵活地实现身份验证和授权。

    所以,根据具体的需求和场景,我们建议您选择最适合您应用程序的方法来保护cookie和实现身份验证和授权。

    2023-05-26 15:50:13
    赞同 展开评论 打赏
问答分类:
问答地址:

阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。

相关电子书

更多
在 IoT 设备进行 JavaScript 开发的探索之路 立即下载
JavaScript 语言在引擎级别的执行过程 立即下载
机器学习在互联网后端技术中的应用 立即下载