已设置Django SESSION_COOKIE_HTTPONLY,但cookie上未显示HttpOnly标志
Django是一个流行的Python Web框架,用于快速开发高质量的Web应用程序。在Django中,SESSION_COOKIE_HTTPONLY是一个配置选项,用于设置会话cookie是否应该具有HttpOnly标志。
HttpOnly是一个安全标志,用于防止跨站点脚本攻击(XSS)。当会话cookie被设置为HttpOnly时,浏览器将禁止通过JavaScript访问该cookie,从而提高了应用程序的安全性。
然而,即使在Django中设置了SESSION_COOKIE_HTTPONLY为True,有时候会话cookie上未显示HttpOnly标志的情况也可能发生。这可能是由于以下原因:
- 浏览器不支持HttpOnly标志:某些旧版本的浏览器可能不支持HttpOnly标志,因此无论是否设置了SESSION_COOKIE_HTTPONLY,都不会在cookie上显示HttpOnly标志。在这种情况下,建议使用支持HttpOnly标志的现代浏览器。
- 代理服务器的干预:如果应用程序后面有代理服务器,该代理服务器可能会修改或删除HttpOnly标志。这可能是出于安全或其他目的。在这种情况下,建议检查代理服务器的配置,并确保它不会干预会话cookie的HttpOnly标志。
- Django版本问题:某些Django版本可能存在bug,导致设置了SESSION_COOKIE_HTTPONLY为True时,会话cookie上未显示HttpOnly标志。在这种情况下,建议升级到最新的Django版本,以修复可能存在的问题。
总结起来,尽管已经设置了Django SESSION_COOKIE_HTTPONLY为True,但会话cookie上未显示HttpOnly标志可能是由于浏览器不支持、代理服务器干预或Django版本问题等原因。为了确保会话cookie的安全性,建议使用支持HttpOnly标志的现代浏览器,并检查代理服务器的配置。
相关·内容
我有一个Django应用程序,并且正在配置一些安全设置。其中一个设置是SESSION_COOKIE_HTTPONLY标志。我把这个旗子设为True。
在会话创建(登录)中,如果检查cookie,我可以看到设置了会话HTTPOnly标志。在注销时,服务器将返回带有空值的会话cookie更新,以显示cookie已被销毁。此空cookie不会在设置httpOnly标志的情况下发回。
我的问题是:这是安全问题吗?是否有办法强迫Django在注销时设置此标志?或者,由于返回的会话cookie是空的,这是否只是预期的行为,而不是安全问题?
浏览 5提问于2015-11-18得票数 5
回答已采纳
可以将django csrf cookie设置为仅http-only吗?类似于使用会话cookie的SESSION_COOKIE_HTTPONLY,但对于csrf one?
浏览 0提问于2012-06-02得票数 14
回答已采纳
我已经在我的settings.py中设置了以下代码
SESSION_COOKIE_HTTPONLY = True
尽管说这是默认的。
然后我使用./manage.py runserver并在站点上运行OWASP扫描仪。但是OWASP说,cookie是在没有HttpOnly标志的情况下设置的:
当我使用gunicorn和nginx服务器站点时,我也遇到了这个问题。我怎样才能设置这个旗子?
使用django 1.8;页面accounts/login由django-registration-redux管理(如果相关的话)。
浏览 0提问于2015-08-13得票数 3
回答已采纳
2回答
我有一个django网站托管在弹性豆茎上。我已获得AWS SSL证书,该证书已与负载均衡器443 HTTPS端口关联。 在我的配置文件中,我有: MIDDLEWARE = [
...
"django.middleware.csrf.CsrfViewMiddleware",
]
CSRF_COOKIE_HTTPONLY = False
SESSION_COOKIE_HTTPONLY = True 通过这种设置,我可以登录到网站,但浏览器在地址栏中显示‘不安全’,如果我在urls前加上'https://‘’,我会得到一个页面,说明连接不是私有的。 如果我添加 S
浏览 71提问于2021-11-12得票数 0
回答已采纳
我已经尝试在Django中使用HttpOnly cookie两天了,但是还不能解决。我尝试将所有这些添加到我的settings.py文件中 SESSION_COOKIE_HTTPONLY=True
SESSION_COOKIE_PATH = '/;HttpOnly'
LANGUAGE_COOKIE_HTTPONLY=True
CSRF_COOKIE_HTTPONLY=True 我的home.html文件 fetch('http://127.0.0.1:8000/api/books/', {
method: 'POST',
浏览 41提问于2021-06-23得票数 1
回答已采纳
我的Vue应用程序有一个Django REST框架API后端。我正在尝试为匿名用户使用Django会话,但是Django没有发送或者Axios无法读取会话cookie。 正在通过检查Session.objects.all().count()创建新会话 我正在尝试使用JWTAuthentication存储购物车数据,使用SessionAuthentication存储匿名用户。 # settings.py
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
'localhost:8080',
'
浏览 19提问于2019-03-28得票数 4
回答已采纳
我使用Flask默认值,以便为会话cookie设置HttpOnly。 我有一个处理程序,我希望允许JavaScript访问会话cookie。 有没有办法更改单个处理程序的Flask session cookie,使HttpOnly为false? 我在我的处理程序中尝试了一下: app.config['SESSION_COOKIE_HTTPONLY'] = False
rsp = make_response(jsonify(...))
app.config['SESSION_COOKIE_HTTPONLY'] = True
return rsp 但是曲奇还是设置
浏览 38提问于2019-05-28得票数 0
回答已采纳
我在设置文件中设置了这个变量,如下所示:
SESSION_COOKIE_HTTPONLY = True
但是当我用谷歌浏览器打开这个网站时,set-cookie中没有显示HttpOnly。
我的the服务器是Apache2.4,网站使用的是Https协议。
浏览 15提问于2017-08-30得票数 0
每当我尝试登录Django Admin或尝试在我的Django应用程序中注册时,我都会收到这个错误。
我在Docker和http中使用Production和serving site。据我所知,这个问题是因为通过http而不是https来提供服务。
以下是我的产品settings.py:
SECURE_HSTS_SECONDS = 518400
SECURE_HSTS_INCLUDE_SUBDOMAINS = env.bool('DJANGO_SECURE_HSTS_INCLUDE_SUBDOMAINS', default=True)
SECURE_CONTENT_TYPE_NO
浏览 0提问于2016-12-27得票数 3
我的代码有两部分:第一部分是通过简单的在localhost:3000上运行的localhost:3000前端(没有框架/库),另一部分是运行在localhost:8080上的Django server,这里发生的是--前端向Django服务器发出跨站点的POST请求,但是它得到了一个禁止的( cookie未设置。)< code >E29</code>错误。我知道这个问题被问了很多次了,但我似乎没有找到解决办法。
我没有任何在Django请求POST调用的经验,不是使用DRF,而是使用我们自己的端点。
问题代码:
首先,前端将请求csrf令牌到/api/csrf/。
vi
浏览 1提问于2021-03-12得票数 0
我正在做一个django项目,在我修改了一个源文件后,django几天来一直在记录我。
cookies和数据库中的过期日期显示还有1个月。
即使在进行了更改之后,会话cookie也与数据库中的相同,但我必须重新登录。在登录后,会话in (数据库和浏览器)都会发生变化。
我使用的是django 1.8.5
编辑:一些与会话相关的设置:
SESSION_EXPIRE_AT_BROWSER_CLOSE False
SESSION_COOKIE_HTTPONLY True
SESSION_COOKIE_DOMAIN None
浏览 1提问于2015-10-29得票数 7
1回答
我正在尝试构建一个应用程序,前端使用React TSX,后端使用Django。我想使用SESSION_ENGINE=django.contrib.sessions.backends.signed_cookies将会话存储在浏览器上。因此,我希望以类似于PHP或Apache存储其会话的方式来存储会话。我尝试了很多方法,但我仍然无法存储会话,我一直从代码中获得输出SESSION IS NOW SET。任何帮助都会很好。谢谢
login.tsx
import Cookies from "js-cookie";
import axios, { AxiosResponse, AxiosE
浏览 2提问于2020-07-17得票数 1
回答已采纳
我的场景:example.com是用户正在访问的django页面。会话由服务器设置。现在,我在另一个名为xyz.com的域上有了前端应用程序,现在,我需要调用example.com上的app,所以我尝试使用withCredentials: true进行ajax调用。但它似乎并没有在请求中发送cookie 'sessionId‘。
我已经看到了一些堆栈溢出答案,但建议的答案不起作用。
我一直在尝试的是:我的后端是用Django写的,所以我尝试设置
CORS_ALLOW_CREDENTIALS = True
# Cross Origin Request Settings (CR
浏览 0提问于2018-10-29得票数 1
回答已采纳
我创建了一个API /user/auth,可以使用POST发送一个Json对象,如下所示:
var user = {"username":"alex", "password":"m"}
$http(
{
method: 'POST',
url: '/api/v1/user/auth',
data: user,
}
).
浏览 3提问于2013-08-30得票数 1
回答已采纳
我一直试图从我的djangorestframework api中获取数据,并通过cookies进行验证。在谈到主要问题之前,
局域网上的计算机IP:192.168.1.50Running本地主机在端口80:127.0.0.1Running django在端口8000:192.168.1.50:8000 -(反之亦然: 127.0.0.1:8000) )
现在,假设我的django在192.168.1.50:8000上运行,我发现如果我从192.168.1.50向djangorestframework发送fetch请求,那么cookies就会与请求一起附加。
Django的settings.py
浏览 5提问于2021-12-15得票数 1
views.py
class ExtendUserSession(MiddlewareMixin):
"""
Extend authenticated user's sessions so they don't have to log back in
next 15 minutes (set by Django's default `SESSION_COOKIE_AGE` setting).
"""
def process_request(self, request):
浏览 8提问于2022-07-07得票数 0
我刚刚将一个web应用程序推向生产环境,对nodejs的请求不再包含Django在我的本地主机上默认设置的用户cookie (它在本地主机上工作)。
我的nodejs查找cookie如下所示
io.configure(function(){
io.set('authorization', function(data, accept){
if (data.headers.cookie) {
data.cookie = cookie_reader.parse(data.headers.cookie);
retu
浏览 0提问于2013-08-12得票数 1
我有一个Django应用程序,它使用cookie会话将数据从一个传递到另一个模板/函数。
我面临的问题是,当设置基于任何文件的cookie时,基于DB的cookie在本地工作得很好,但是当我尝试在数字海洋开发服务器中设置相同的会话时,由于一些未知的原因,它失败了。
下面是与会话进行事务的文件
settings.py
尝试1:
SESSION_ENGINE = "django.contrib.sessions.backends.signed_cookies"
SESSION_COOKIE_NAME = "user_session"
SESSION_COOKIE_H
浏览 4提问于2022-06-12得票数 0
3回答
Cookie不能被脚本读取
、、、、
我正在尝试使用js-cookie包通过以下Javascript代码从浏览器读取cookie。但是,cookie未被读取。
import Cookies from 'js-cookie';
var cookie_name = 'cookie';
var cookie = Cookies.get(cookie_name);
console.log(cookie);
cookie是使用以下利用Flask的Python代码创建的。
response.headers.add('Access-Control-Allow-Headers', 'Cont
浏览 1提问于2019-02-06得票数 5
我知道带有安全标志的cookie应该通过HTTPS连接传输。这也意味着应该保护这些cookie不受对手(私有cookie)的攻击。因此,在这种私有cookie上设置HttpOnly标志以防止XSS是很重要的。
带有安全标志但没有HttpOnly标志的私有cookie是否存在问题?
本质上,我认为HttpOnly标志应该添加到带有安全标志的cookie中。
浏览 0提问于2017-04-11得票数 22
回答已采纳
1回答
我在web客户端使用React Axios,API使用Django REST框架。
csrftoken和sessionid cookie是在本地开发时设置的,在生产中使用API的邮递员也是如此。但是在我的Vercel应用程序中,虽然请求成功了,但是没有设置cookie。
settings.py
CORS_ALLOWED_ORIGINS = [
'http://localhost:3000',
'http://127.0.0.1:3000',
# web client url,
]
CORS_ORIGIN_WHITELIST = (
浏览 13提问于2022-10-17得票数 0
我在Django React项目中使用了CSRF和会话cookie。在本地开发中,一切都运行得很好。 我在生产环境中遇到了cookie的问题。 后台和前端托管在不同域名下的Heroku上。 当我从后台请求CSRF token时,token存储在托管后台的域名下。这意味着我的前端无法访问cookie。 如果我直接从浏览器调用后端API,cookies工作正常,因为它们存储在我发送请求到的相同域名下。 我一直在努力解决这个问题,任何帮助都将不胜感激。 # settings.py
SESSION_COOKIE_HTTPONLY = True
CSRF_COOKIE_SAMESITE = &
浏览 55提问于2021-07-15得票数 0
我使用Django Rest作为后端api,并且每个API调用都需要在头部中有一个CSRF令牌。在开发人员工具的"Applications“选项卡中,我清楚地有一个"csrftoken”值,并且我需要在Nuxt应用程序执行的每个后续POST请求中提取该值(使用Nuxt/Axios)。
我的settings.py看起来像这样:
CORS_ORIGIN_WHITELIST = (
"http://localhost:3000",
"http://127.0.0.1:3000",
)
CORS_ALLOWED_ORIGINS = [
浏览 12提问于2021-01-05得票数 1
在我的Django的settings.py里
SESSION_COOKIE_HTTPONLY = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
X_FRAME_OPTIONS = 'DENY'
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SECURE_SSL_REDIRECT = True
SECURE_HSTS_SECONDS = 15768000
SECURE_HSTS_INCLUDE_SUBDOMAINS =
浏览 3提问于2017-06-30得票数 5
回答已采纳
我正在使用django,Drf构建一个应用程序,目前使用vanilla作为前端。
我在不同的用例上搜索了几乎所有的web上的身份验证,发现了不同的链接,但这些链接似乎总是支持会话身份验证和令牌身份验证。
使用Django可以帮助我们默认使用会话身份验证,因此我决定使用令牌auth来研究auth进程。
在进行此操作时,我最初使用本地存储作为存储用户身份验证后从后端响应获得的令牌的存储,但出于一些有效的原因,大多数开发人员/工程师建议不要使用本地存储,因为它会对xss发起攻击。
所以我决定实现httponly cookie方法,但是我还没有在Django上看到它的实际应用,我已经看到了实现所有这些
浏览 0提问于2020-12-27得票数 0
回答已采纳
1回答
我想使用Java,我在HttpOnly中进行了如下设置:
...
Cookie accessTokenCookie = new Cookie("token", userToken);
accessTokenCookie.setHttpOnly(true);
accessTokenCookie.setSecure(true);
accessTokenCookie.setPath("/");
response.addCookie(accessTokenCookie);
Cookie refreshTokenCookie = new Cookie("refr
浏览 1提问于2017-02-03得票数 10
回答已采纳
1回答
django-安全摧毁我的网站
、、、、
我对将https强加于整个python项目很感兴趣。我找到了解决方案,看起来很有希望。我做了这些更改,相当于我的settings.py
SECURE_SSL_REDIRECT = True
SECURE_HSTS_SECONDS = 60
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_FRAME_DENY = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
SESSION_COOKIE_SECURE = True
SESSION_COOKIE_HTTPO
浏览 4提问于2014-12-26得票数 0
回答已采纳
1回答
我在Django会议上有个奇怪的问题,我一直在纠结。基本上,我的会话是正确创建的,但由于某种原因,之后我无法检索session_data的内容。
这是一步一步的基本指南。
步骤1:我访问主页,(正如预期的)我还没有一个有效的会话。
HOMEPAGE: SESSION VALUE session_key: None userSecureId: None END HOMEPAGE: SESSION VALUE
步骤2:我登录,在Django上生成一个会话,然后将用户重定向到他的部分
下面是如何生成我的会话以及如何重定向我的用户:context = RequestContext(request)
浏览 4提问于2016-05-24得票数 1
1回答
我正在尝试使用Django Rest框架构建一个单页面应用程序。对于身份验证,我使用了一个登录视图,它启动一个会话,并要求所有api路由上的csrf保护。因为没有进行模板操作,所以从未使用过csrf_token标记,所以我必须使用get_token手动获取令牌。我不想把它放在主视图中给出的主索引文件中,而是把它设置在它自己的cookie上。不,这不是django提供的CSRF Cookie,因为那个有CSRF密钥,再加上我提到我正在使用会话,所以密钥存储在那里。此cookie将具有用于所有变异请求的令牌。
我想尽一切办法让django接受这个cookie,但都没有成功。我可以很好地第一次登录,
浏览 3提问于2019-04-26得票数 2
在Django中,当CSRF_COOKIE_HTTPONLY设置设置为True时,cookie获得httponly标志(从安全角度来看这是可取的),但打破了将此cookie添加到httpProvider的标准角度解决方案,如下所示:
$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
通过Django 1.9,您可以将cookie直接传递给应用程序,方法是将其放在模板中:
<script>
浏览 10提问于2016-11-28得票数 8
回答已采纳
我读到了与将jwt令牌存储在本地存储中有关的一些问题,这就是为什么我试图将令牌存储在仅限于http的cookie中。我正在使用以下方法。
from rest_framework.views import APIView
from rest_framework.response import Response
import jwt
from django.conf import settings
from rest_framework import status
class LoginView(APIView):
def post(self, request, format=None)
浏览 2提问于2020-08-12得票数 5
我目前在Firefox上遇到了一个问题,它接收了一个带有httponly标志的cookie。然而,当随后的响应被发送到服务器时,请求不包含任何httponly标志(这可能是正确的行为),然而当响应返回时,它返回cookie,但是它没有附加httponly标志,因为我假设它以获得它的相同状态返回它。
那么,这是正确的行为吗?我应该为每个请求手动更新服务器上cookie的httponly状态吗?或者应该在调用之间保持httponly状态?我确信每个浏览器可能会有一些不同的行为,但假设是现代主流浏览器。
浏览 0提问于2013-02-28得票数 2
回答已采纳
我有一个cookie是httponly,但没有安全标志。在这种情况下,攻击者能否捕获cookie,尽管该站点仅位于HTTPS上?
浏览 0提问于2019-10-14得票数 4
回答已采纳
我有一个angular登录页面,它向我的django服务器发送一个Ajax请求(侦听来自angular应用程序的单独端口),我能够让我的用户登录,但在响应中没有返回会话cookie,客户端将其存储在angular应用程序中。下面是我的后端settings.py的身份验证相关内容: MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'corsheaders.middl
浏览 9提问于2019-02-05得票数 0
回答已采纳
1回答
Django失去了当前登录的用户
、、、、
在我的网站启动和运行了一段时间之后,我突然发现我的用户在访问它时遇到了问题。
我已经用login_required装饰器保护了某些视图。
当匿名用户点击该页面时,他将被重定向到登录页面。
当这个匿名用户添加其凭据时,POST请求是成功的,他将被重定向到inital页面。
但是,login_required装饰器再次启动并将其重定向到登录页面,因为Django认为,用户没有登录。
我在Ubuntu上运行Django 1.6,在SSL后面的守护进程模式下运行Apache和mod_wsgi,并且使用会话数据库后端。我使用django-allauth.account进行帐户管理
浏览 5提问于2014-06-03得票数 1
1回答
我对cookies中的HTTPOnly属性有一点困惑。我知道它的主要用途是防止XSS攻击。让我们假设有一个web应用程序已经为cookie设置了httponly。为此,我使用了像Fiddler这样的拦截代理。但是在所有随后的事务中,cookie没有伴随着httponly标志。这是不是像设置一次就会覆盖整个会话的特性?只有flag...or是一个实现缺陷吗?但同样,当通过cookie管理器插件进行监控时,属性显示httponly已启用。我的问题是,如果启用了,为什么cookie管理器显示启用了它,而不是拦截代理,这是正常的预期行为还是错误的实现。请帮我理解一下。
浏览 2提问于2012-05-22得票数 2
回答已采纳
我已经将用户身份验证超时设置为超过默认的30分钟,但我仍然发现用户正在超时。这给csrf保护的表单带来了问题。
factories.yml
storage:
class: sfSessionStorage
param:
session_cookie_lifetime: 604800
session_cookie_httponly: true
user:
class: myUser
param:
timeout: 604800
gc.session_timeout被设置为相同的值,它在我的本地运行良好,只有在生产环境下才会出现问题。你知道是什么原因导致了
浏览 3提问于2012-12-17得票数 1
我正试图在我的烧瓶网络应用程序上设置一些安全性。作为第一步,我将通过将SESSION_COOKIE_SECURE设置为true来确保会话cookie的安全性。
但是,在我从“检查元素”中获得会话cookie之后,我可以很容易地解码会话cookie,无论我是否添加SESSION_COOKIE_SECURE都没有区别。
这是我的代码:
from flask import Flask, request, app, render_template, session, send_file, redirect
MyApp = Flask(__name__)
MyApp.secret_key = "
浏览 2提问于2018-09-24得票数 2
回答已采纳
1回答
目前我正试图解决这个问题,我浏览了许多帖子,但仍然无法解决这个问题,因此我向社区发送了以下消息:)
我正在为一个基于mydomain.com的网站创建一个开发/测试环境,我必须将当前的网站复制到一个子域,比如从es.mydomain.com到dev.mydomain.com等等,用于其他相关服务,比如弹性搜索(例如从es.mydomain.com到es-dev.mydomain.com)。
所以我在这里,我通过Nginx部署了所有的东西,主要网站dev.mydomain.com和所有服务都运行,并且是可访问的。但是我不能登录到400 missing CSRF session token,当实际
浏览 5提问于2020-04-03得票数 1
我对Django Rest框架和CSRF配置有异议。我知道在这个主题上有很多类似的帖子(比如这个),但大多数都不适用(我没有使用SessionAuthentication,也没有使用Django模板),我仍然不清楚DRF处理CSRF的方式。
情况如下:
I有一个DRF应用程序作为后端API,具有多个路由,使用令牌身份验证(JWT),我还有一个单独的前端与我的API通信。两者都在同一个域上(比如和在DRF端有一个简单的APIView来注册,我需要发送POST请求。此视图不需要authentication.
当我发送POST请求时,我得到一个带有以下消息的403 Forbidden error:d
浏览 0提问于2021-11-05得票数 0
回答已采纳
在Servlet3.0兼容的应用服务器中,我可以通过将以下内容添加到web.xml来设置会话cookie (JSESSIONID)的HttpOnly和安全标志:
<session-config>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
但是,我正在处理的应用程序将部署在Websphere 7中,这是Servlet2.
浏览 1提问于2012-02-08得票数 10
回答已采纳
正如标题所示,我认为在Django中这是不可能的:最新的如果写的话,但是是否可以检测到在request.HEADERS中发送的cookie是否是httpOnly
浏览 3提问于2020-04-04得票数 0
回答已采纳
我正在积极地尝试获取有关httpOnly cookie的知识,并找到了许多关于我们为什么要使用它的文章。 但我还没有看到任何如何使用它的实际例子。从一些尝试和错误中,我了解到我们不能在浏览器中设置httpOnly标志,而需要在服务器上设置。因此,我相应地使用了cookie-parser库: const express = require('express');
var cookieParser = require('cookie-parser');
const app = express();
app.use(cookieParser());
app.pos
浏览 81提问于2020-10-25得票数 1
回答已采纳
我们有由基础设施中的设备生成的cookie,我们无法访问设备的配置,因此不能在它直接生成的cookie上设置HTTPOnly标志。
我们在这个设备前面有一个清漆4缓存,可以在cookie上设置HTTPOnly标志吗?如果是的话,如何才能做到呢?
浏览 7提问于2016-09-21得票数 0
回答已采纳
我已经使用Django开发了一个web应用程序,使用Firebase (通过Pyrebase python包装器访问)作为数据库,并且刚刚使用Google App Engine部署了它。
我的sessionid有问题,但只在web服务器上有问题-当我在本地运行应用程序时不会。
web服务器上发生的情况是,一旦用户通过身份验证,用户的ID令牌就会通过request.session['uid'] = idToken存储在会话字典中。当用户被引导到主页时,应用程序会尝试从会话字典中检索idToken,这有时有效,有时不起作用。当它起作用时,它会在主页上加载一些用户数据,但当用户点击另
浏览 0提问于2018-09-21得票数 2
我正在一个网站上工作,我想知道一个cookie是否需要设置一个安全标志,或者网站是否运行在HTTP上。此外,cookie上设置了httponly标志,但没有安全标志。
浏览 0提问于2019-04-16得票数 1
我理解HTTPOnly标志适用于会话cookie。它适用于持久化饼干吗?有人能提供推荐信吗?我已经检查了上的HTTPOnly标志,但没有明确声明。
浏览 4提问于2014-01-25得票数 0
回答已采纳
必须将cookie从节点发送到angular客户端。默认在API域中设置了cookie。如果我在cookies中设置域,它不起作用。 请澄清设置cookie的正确方法是什么? res.setHeader('Set-Cookie', ['token=' + token + ';httpOnly;Domain=abc.com;Path=/;secure:true;']);
res.cookie('token', token, { maxAge: 60*60*12, httpOnly: true,Domain=abc.com});
浏览 31提问于2019-09-25得票数 0
在我们的应用程序中,我们使用J2EE会话变量进行会话管理。我们最近从ColdFusion 9迁移到了2018年的ColdFusion。迁移后,注销功能无法工作。我们发现,在ColdFusion 2018中,cookie JSESSIONID没有从浏览器中清除,因为HttpOnly标志在浏览器中被设置为true。
我们试图通过以下方式在浏览器中禁用此HttpOnly标志,
By disabling HttpOnly flag and Global Script Protection in CF admin.
By modifying the jvm.config via CF admin by
浏览 5提问于2020-01-10得票数 2
回答已采纳
1回答
使用Internet选项,我可以看到所有持久的cookie,而使用开发人员工具,我可以看到所有JS可访问的会话cookie。似乎没有一种方法可以查看HTTPOnly会话cookie。
在Firefox中,有许多选项,无论是内置的还是使用Firebug的,都可以查看cookie,包括能够看到请求/响应头。在IE8中没有办法看到HTTPOnly会话cookie吗?
相关问题(HttpOnly没有解决方案):
浏览 6提问于2012-08-13得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
