前言

在學習Web安全中發現一些感覺比較常見又重要的知識，這里就做下筆記。這一片是講解關于HttpOnly的知識。

測試環境

• Python 3.5.1
• Flask
• 谷歌瀏覽器

什么是HttpOnly?

HttpOnly是Cookie的一個屬性，讓瀏覽器禁止頁面JavaScript訪問帶有該屬性的Cookie。

HttpOnly解決的是XSS后的Cookie劫持攻擊。如果Cookie設置了HttpOnly，JavaScript將讀取不到Cookie值。

Flask中設置帶有HttpOnly的Cookie

下面就使用Python的Flask框架探討HttpOnly的效果

from flask import Flask, request, make_response, jsonify

app = Flask(__name__)

app.config["SESSION_COOKIE_HTTPONLY"] = True

@app.route("/")
def index():
    response=make_response('OK')
    response.set_cookie('key', 'value', httponly=False) # 設置httponly
    return response

@app.route('/get/')
def get():
    res = {"key": request.cookies.get("key")}
    return jsonify(res)

@app.route('/js/')
def js():
    js_test = """
    <script>
        alert(document.cookie);
    </script>
    """
    return js_test

if __name__ == '__main__':
    app.run()

運行上面的代碼后，首先訪問http://127.0.0.1:5000/，再進入「Cookie和網站數據」查看一下Cookie的參數。下面以谷歌瀏覽器為例。

第一步：進入谷歌瀏覽器的「設置」，找「隱私設置」的「內容設置」；

內容設置

第二步：找到「內容設置」中的「所有Cookie和網站數據」按鈕；

所有Cookie和網站數據

第三步：查看Cookie。

查看Cookie

可以看到，我們的代碼response.set_cookie('key', 'value', httponly=False)已經成功設置了Cookie，并且下面的「腳本可訪問」的選項是：「是」。也就是說訪問http://127.0.0.1:5000/js/頁面是可以看到相關值的。

js讀取Cookie

下面開始測試httponly的效果。

把有注釋「設置httponly」那一行的代碼httponly參數改為True。

重啟Flask，刷新http://127.0.0.1:5000/，重新進入「所有Cookie和網站數據」頁面?？梢钥吹侥_本可訪問」的選項改變了。

腳本不可訪問

刷新http://127.0.0.1:5000/js/，發現不能看到之前的值了。

無法讀取Cookie

最后訪問一下http://127.0.0.1:5000/get/，可以正?？吹剑?/p>

{
  "key": "value"
}

這是因為瀏覽器把Cookie提交上去，由服務器端返回回來的結果。

結語

經過上面的步驟，我們可以知道了設置Cookie的HttpOnly屬性可以防止瀏覽器的JS訪問相關Cookie。

本文首發于CSDN：http://blog.csdn.net/yannanxiu/article/details/72811821