Java 无法在safari的请求标头中发送带有HTTPOnly标志的cookie_Java_Security_Cookies_Browser_Safari

Java 无法在safari的请求标头中发送带有HTTPOnly标志的cookie

java security cookies browser safari

Java 无法在safari的请求标头中发送带有HTTPOnly标志的cookie,java,security,cookies,browser,safari,Java,Security,Cookies,Browser,Safari,我使用java在Safari浏览器中创建了带有HTTPOnly标志的Cookie 请参阅下面的响应标题 Accept:text/html，application/xhtml+xml，application/xml；q=0.9，*/*；q=0.8 推荐人：http://anil.mlbextrabases.com/SafariIssue/ 用户代理：Mozilla/5.0（Windows NT 6.2；WOW64）AppleWebKit/534.57.2（KHTML，类似Gecko）版本/5.1

我使用java在Safari浏览器中创建了带有HTTPOnly标志的Cookie 请参阅下面的响应标题

Accept:text/html，application/xhtml+xml，application/xml；q=0.9，*/*；q=0.8
推荐人：http://anil.mlbextrabases.com/SafariIssue/
用户代理：Mozilla/5.0（Windows NT 6.2；WOW64）AppleWebKit/534.57.2（KHTML，类似Gecko）版本/5.1.7 Safari/534.57.2
查询字符串参数查看URL编码
用户名：servlet
userPass:servlet
所需参数：true
响应头视图源
内容长度：331
内容类型：text/html；字符集=ISO-8859-1
日期：2018年8月8日星期三09:23:45 GMT
服务器：ApacheCoote/1.1
设置Cookie:userInfo=“username:servletpassword:servlet”；版本=1；Comment=“创建cookie”；Domain=anil.mlbextrabases.com；最大年龄=31536000；Expires=2019年8月8日星期四09:23:45 GMT；Path=“；Path=/；HttpOnly；”，JSESSIONID=076942707A8D62AD1296102A1593F664；路径=/SafariIssue；HttpOnly
严格的运输安全：最大年龄=7776000；includeSubdomains

Http仅创建定义为不允许从javascript访问的Cookie。这是一种安全控制，确保黑客不能通过提取有效的cookie值（如会话ID）来利用您的软件进行攻击

HttpOnly是网站可以指定的关于cookie的标志。换句话说，Web服务器告诉您的浏览器“嘿，这是一个cookie，您应该将其视为HttpOnly”

JavaScript无法访问HttpOnly Cookie。只有浏览器知道这一点，它不会将其提供给页面中的JavaScript代码。一开始，这听起来像是一种限制，事实确实如此。然而，这样做的目的是我们不能信任JavaScript代码。攻击者可以使用JavaScript窃取存储在cookie中的身份验证令牌，然后使用我们的帐户访问网站。对于HttpOnly cookies，这是不可能的。这使得XSS攻击（我们刚才描述的）更难执行

公认的最佳做法是仅与HttpOnly Cookie共享任何身份验证数据。使用标准cookie进行身份验证是我们在任何情况下都应该避免的已知漏洞

您解决过这个问题吗？我在为同样的事情挣扎同样的，运气好吗，有人吗？更多信息-