HttpOnly的笔记

HttpOnly是什么

简单的说：

• HttpOnly是Cookie的属性；
• Web服务器通过为Cookie设置这个属性，告诉浏览器应当避免页面端的脚本访问对应Cookie的值，保证被Cookie承载的敏感信息不被恶意读取；
• Web服务器可以保存一些用户的敏感数据到Cookie中，实现比如SSO的功能；
• 当然是否安全，光靠Web服务器设置HttpOnly属性是没有用的，浏览器需要按要求支持这个属性，否则仍然存在安全问题。

为Cookie设置HttpOnly属性的语法如下。

Set-Cookie: <name>=<value>[; <name>=<value>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]

如何设置

对于Tomcat 7.0.x以上的版本，可以在应用的web.xml文件中增加如下配置。

<session-config>
	<cookie-config>
		<http-only>true</http-only>
		<secure>true</secure> <!-- 启用HTTPS后，建议配置这行，仅在安全通道时传输Cookie，提升安全性 -->
	</cookie-config>
<session-config>

查阅Apache Tomcat官方Cookie类的文档，可以发现从7.0.x版本可以通过Cookie类对象的API来设置httpOnly属性。

/**
 * Sets the flag that controls if this cookie will be hidden from scripts on the client side.
 */
setHttpOnly(boolean httpOnly)

如何判断HttpOnly是否生效

打开Chrome调试器的Resources面板，在左边选择Cookies，这时在右边可以看到Chrome缓存的cookie数据。

注意观察HTTP、Secure列：

• 如果HTTP列有对勾，说明对应行的cookie设置了HttpOnly属性；
• 如果Secure列有对勾，说明对应行的cookie设置了secure属性；

资料

• HttpOnly
• Mitigating Cross-site Scripting With HTTP-only Cookies
• 利用HTTP-only Cookie缓解XSS之痛
• 如何为cookie设置HttpOnly
• 某些浏览器中因cookie设置HttpOnly标志引起的安全问题
• HttpCookie.HttpOnly VS Cookie.HttpOnly?(downmoon原创)