關於如何處理httpOnly的問題？

寫這篇的目的是，今天在重新學習javascript時發現了HttpOnly這個標簽，所以專門的mark了下。

誰在什麼時候發明瞭HttpOnly

2002年微軟為ie6的sp1創造了HttpOnly

什麼是HttpOnly

HttpOnly是包含在http返回頭Set-Cookie裡面的一個附加的flag，所以它是後端伺服器對cookie設置的一個附加的屬性，在生成cookie時使用HttpOnly標誌有助於減輕客戶端腳本訪問受保護cookie的風險（如果瀏覽器支持的話）

下麵的例子展示瞭如何設置Set-Cookie 返回頭的語法

Set-Cookie: <name>=<value>[; <Max-Age>=<age>]

[; expires=<date>][; domain=<domain_name>]

[; path=<some_path>][; secure][; HttpOnly]

如果HTTP響應標頭中包含HttpOnly標誌（可選），客戶端腳本將無法訪問cookie（如果瀏覽器支持該標誌的話）。因此即使客戶端存在跨站點腳本（XSS）漏洞，瀏覽器也不會將Cookie透露給第三方。

如果瀏覽器不支持HttpOnly，並且後端伺服器嘗試設置HttpOnly cookie，瀏覽器也會忽略HttpOnly標誌，從而創建傳統的，腳本可訪問的cookie。那麼該cookie（通常是會話cookie）容易受到XSS攻擊

使用HttpOnly緩解最常見的XSS攻擊

大多數XSS攻擊都是針對會話cookie的盜竊。後端伺服器可以通過在其創建的cookie上設置HttpOnly標誌來幫助緩解此問題，這表明該cookie在客戶端上不可訪問。

如果支持HttpOnly的瀏覽器檢測到包含HttpOnly標誌的cookie，並且客戶端腳本代碼嘗試讀取該cookie，則瀏覽器將返回一個空字元串作為結果。這會通過阻止惡意代碼（通常是XSS）將數據發送到攻擊者的網站來使攻擊失敗。

java伺服器設置HttpOnly

自從採用Java Servlet 3.0之上的容器，很容易在cookie上設置HttpOnly標誌。實際上，setHttpOnly和isHttpOnly方法可在Cookie介面中使用，如下

Cookie cookie = getMyCookie("myCookieName");

cookie.setHttpOnly(true);

在WEB-INF/web.xml的設置如下

<session-config>

<cookie-config>

  <http-only>true</http-only>

</cookie-config>

</session-config>