大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
一、前言
在进行前后端联调的时候,由于想实现一个登出操作,前端自动删除浏览器存储的cookie,想通过document.cookie来获取进而进行删除操作,但是发现浏览器有cookie;但是无法获取到情况遂记录
二、场景复现
- 首先登录后,浏览器中是有记录cookie的,如图
- 然后我代码层执行
documen.cookie发现获取不到,浏览器控制台也同样
- 后面去研究了一下application中存放的cookies的属性内容,发现有个属性HttpOnly是选中状态,这个状态是由于后端设置cookie的时候设置了该属性为true导致
//后端代码
public static void addCookie(HttpServletResponse response, String name, String value, String domain, int maxAge) {
try {
Cookie cookie = new Cookie(name, URLEncoder.encode(value, "utf-8"));
cookie.setPath("/");
cookie.setDomain(domain);
cookie.setMaxAge(maxAge);
cookie.setHttpOnly(true); //后端设置httpOnly属性为true
response.addCookie(cookie);
} catch (Exception var6) {
throw new RuntimeException(var6.getMessage());
}
}
- 后面我将HttpOnly设置false状态后,
documen.cookie就能够获取到
- 百度查了一下HttoOnly属性的作用,觉得这个博主解释很到位【HttpOnly解答】
HttpOnly是2016年微软为IE6而新增了这一属性
HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持则会显示,若不支持则选择传统方式)
- 也就是说HttpOnly的存在主要是为了防止用户通过前端来盗用cookie而产生的风险,例如XSS攻击就是对cookie进行盗窃,使用这一属性就可以防止客户端(前端)不可访问
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/157424.html原文链接:https://javaforall.net
