请求头cookie 的 httpOnly 问题

httpOnly 的最常见应用场景,即防止网站被 XSS 攻击攻破后,利用 javascript 获取 cookie 中的敏感信息。

它主要是用来禁止 javascript 读取 cookie。

一般由后台在 http 头里设置 cookie 时启用 httpOnly 。

假如后端默认设置了httpOnly=ture 可以通过以下两种修改配置:

 1:conf/context.xml 文件是否存在下面这段

 2:或者在 web.xml 里有没有这样的配置:

   

    true

   

你可能感兴趣的:(请求头cookie 的 httpOnly 问题)