如何用 cookie 的 HttpOnly 与 Secure 属性防范 XSS 攻击

HttpOnly 和 Secure 属性协同防护 Cookie:HttpOnly 禁止 JavaScript 读取 Cookie 防 XSS 窃取,Secure 强制仅 HTTPS 传输防 MITM 截获;二者必须同时启用,并配合 SameSite(Lax/Strict)增强安全。HttpOnly 和 Secure 是 Cookie 的两个关键安全属性,它们不能阻止 XSS 攻击本身,但能显著限制 XSS 成功后的危害------尤其是防止攻击者窃取会话 Cookie。HttpOnly:阻断 JavaScript 读取敏感 Cookie启用 HttpOnly 后,浏览器禁止 JavaScript(包括 document.cookie、XMLHttpRequest、Fetch)访问该 Cookie。即使页面存在 XSS 漏洞,攻击者注入的脚本也无法通过 document.cookie 获取到带此属性的 Cookie(如 sessionid)。注意:HttpOnly 只影响"读取",Cookie 仍会在后续请求中由浏览器自动携带发送给服务端,不影响正常登录态维持。后端设置示例(Node.js/Express):res.cookie('sessionid', 'abc123', { httpOnly: true, secure: true, sameSite: 'lax' }); PHP 示例:setcookie('sessionid', 'abc123', 'httponly' =\> true, 'secure' =\> true, 'samesite' =\> 'Lax' ) 务必为所有含认证信息的 Cookie(如 session、auth_token)启用 HttpOnlySecure:确保 Cookie 仅通过 HTTPS 传输Secure 属性强制浏览器只在 HTTPS 协议下发送该 Cookie。这可防止 Cookie 在 HTTP 明文传输中被中间人(MITM)窃听或劫持。 幻导航网 发现优质实用网站,开启网络探索之旅!

相关推荐
第一程序员5 分钟前
Rust trait 入门:把 AI 客户端抽象成可替换接口
python·rust·github
三品PLM系统21 分钟前
【无标题】
数据库·制造·cadence·plm
Ulyanov34 分钟前
Python实现6-DOF刚体仿真器(下)——环境扰动与控制闭环
开发语言·python·算法·系统仿真·雷达电子对抗·导引头
ITxiaobing202336 分钟前
如何构建IP维度的假量排查流程:以AppsFlyer Protect360判假后的实战为例
网络·数据库
小小的木头人1 小时前
Python 批量解析 Excel 经纬度,调用高德地图 API 获取中文地址
开发语言·python·excel
金銀銅鐵1 小时前
[Python] 为 Vole 机器语言实现图形化界面
python·程序员
ywl4708120871 小时前
mysql 锁定读和非锁定读
数据库·mysql
流浪0012 小时前
MySQL数据库基础篇(三):MySQL 数据库库级操作全解:创建、字符集、管理与备份恢复实战
数据库·mysql
昌旭咨询2 小时前
2026国内知名的CS认证咨询机构有哪些?企业该如何选择?
大数据·数据库·人工智能
小林ixn2 小时前
Python基础全梳理:从注释到函数,这些细节你都掌握了吗?
python·编程语言