Javascript 需要客户端上具有Httponly属性true的Cookies值
我们正在web.xml文件中设置参数Javascript 需要客户端上具有Httponly属性true的Cookies值,javascript,gwt,session-cookies,httponly,Javascript,Gwt,Session Cookies,Httponly,我们正在web.xml文件中设置参数httpOnlytrue,以防止在客户端创建cookie。 这导致读取cookie值。我们使用以下方法读取GWT中的JSESSIONID cookie Cookie.getCookie("JSESSIONID"); 这将返回未定义。如果我删除web.xml中的属性Httponly=true,它将正常工作并返回cookie 有没有人可以建议一种方法来获得cookie JSESSIONID cookie with HttpOnly true。HttpOnly不是
httpOnly
true,以防止在客户端创建cookie。
这导致读取cookie值。我们使用以下方法读取GWT中的JSESSIONID cookie
Cookie.getCookie("JSESSIONID");
这将返回未定义。如果我删除web.xml中的属性Httponly=true
,它将正常工作并返回cookie
有没有人可以建议一种方法来获得cookie JSESSIONID cookie with HttpOnly true。
HttpOnly
不是您所认为的那样。它的唯一目的是告诉浏览器明确地不要将cookie公开给脚本,并且只在HTTP级别使用它
没有什么可以阻止客户端伪造cookie。有几种方法可以通过所谓的会话固定攻击来防止跨站点请求伪造(CSRF),但是
HttpOnly
不是其中之一HttpOnly
有助于跨站点脚本编写(XSS),因此,如果页面包含恶意第三方脚本,它将无法读取cookie以将其发送到第三方服务器-可能稍后将其用于会话固定攻击,但只有在您的站点易受攻击的情况下才有可能。感谢对HttpOnly的详细说明。在我的项目中,类似用户应该在清除历史记录时注销这样的功能。但在STQC中,在jboss服务器中启用HttpOnly属性是必需的。现在我无法实现我的功能,因为由于httponly,我无法访问cookie。你能帮我解决这个问题吗?你可以使用一个,让你的服务器通过这种方式传递会话ID;这是关于在加载时将特定值从服务器传递到客户端的,而不是关于cookies。jsp-gwt集成。但当我在gwt应用程序中清除历史记录时,sessionid并没有被删除,因为它现在不是cookie的一部分,对吗?所以,我怎么知道用户删除了历史记录,我应该将页面重定向到主页?