如何在Java中设置HttpOnly Cookie？-java教程-PHP中文网

首页

Java

java教程

如何在Java中设置HttpOnly Cookie？

PHPz

Apr 22, 2023 pm 06:37 PM

javacookiehttponly

Httponly cookie 是一种 cookie 安全解决方案。

在支持httponly cookie的浏览器（IE6+、FF3.0+）中，如果cookie中设置了“httponly”属性，则JavaScript脚本将无法读取cookie信息，可以有效防止XSS攻击，让网站应用更安全。

但是J2EE4、J2EE5 cookie不提供设置httponly属性的方法，所以如果需要设置httponly属性需要自己处理。

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
 
/**
 * Cookie Tools
 */
public class CookieUtil {
 
    /**
           * Set httponly cookie
     * @param  Response HTTP response
     * @param  Cookie cookie object
     * @param  Ishttponly is httponly
     */
    public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) {
        String name = cookie.getName();//Cookie name
        String value = cookie.getValue();//Cookie value
        int maxAge = cookie.getMaxAge();//Maximum survival time (milliseconds, 0 representative deletion, -1 represents the same as the browser session)
        String path = cookie.getPath();//path
        String domain = cookie.getDomain();//area
        boolean isSecure = cookie.getSecure();//Is there a security protocol? 
 
        StringBuilder buffer = new StringBuilder();
 
        buffer.append(name).append("=").append(value).append(";");
 
        if (maxAge == 0) {
            buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;");
        } else if (maxAge > 0) {
            buffer.append("Max-Age=").append(maxAge).append(";");
        }
 
        if (domain != null) {
            buffer.append("domain=").append(domain).append(";");
        }
 
        if (path != null) {
            buffer.append("path=").append(path).append(";");
        }
 
        if (isSecure) {
            buffer.append("secure;");
        }
 
        if (isHttpOnly) {
            buffer.append("HTTPOnly;");
        }
 
        response.addHeader("Set-Cookie", buffer.toString());
    }
 
}

值得一提的是，Java Ee 6.0中的cookie已经设置了httponly，所以如果兼容Java EE 6.0兼容的容器（例如Tomcat 7），可以使用cookie.sethttponly设置HTTPONLY：

cookie.setHttpOnly(true);

Java HttpCookie 类的setHttpOnly(Boolean httpOnly) 方法用于指示cookie 是否可以被认为是HTTPOnly。如果设置为 true，则 cookie 不能被 JavaScript 等脚本引擎访问。

句法

public void setHttpOnly(boolean httpOnly)

范围

上述方法只需要一个参数：

httpOnly - 如果 cookie 仅是 HTTP，则表示 true，这意味着它作为 HTTP 请求的一部分可见。

不适用

示例 1

import java.net.HttpCookie;  
public class JavaHttpCookieSetHttpOnlyExample1 {  
  public static void main(String[] args) {  
    HttpCookie  cookie = new HttpCookie("Student", "1");  
    // Indicate whether the cookie can be considered as HTTP Only or not.  
        cookie.setHttpOnly(true);  
    // Return true if the cookie is considered as HTTPOnly.  
System.out.println("Check whether the cookie is HTTPOnly: "+cookie.isHttpOnly());  
     }  
 }

输出：

Check whether the cookie is HTTPOnly: true

示例 2

import java.net.HttpCookie;  
public class JavaHttpCookieSetHttpOnlyExample2 {  
    public static void main(String[] args) {  
        HttpCookie  cookie = new HttpCookie("Student", "1");  
        // Indicate whether the cookie can be considered as HTTP Only or not.  
            cookie.setHttpOnly(false);  
        // Return false if the cookie is not considered as HTTPOnly.  
    System.out.println("Check whether the cookie is HTTPOnly: "+cookie.isHttpOnly());  
   }  
}

输出：

Check whether the cookie is HTTPOnly: false

示例 3

import java.net.HttpCookie;  
public class JavaHttpCookieSetHttpOnlyExample3 {  
    public static void main(String[] args) {  
        HttpCookie cookie1 = new HttpCookie("Student1", "1");  
        HttpCookie cookie2 = new HttpCookie("Student2", "2");  
        //Indicate whether the cookie can be considered as HTTP Only or not.  
        cookie1.setHttpOnly(true);  
        cookie2.setHttpOnly(false);  
        System.out.println("Check whether the first cookie is HTTPOnly:"+cookie1.isHttpOnly());  
        System.out.println("Check whether the second cookie is HTTPOnly:"+cookie2.isHttpOnly());  
       }  
    }

输出：

Check whether the first cookie is HTTPOnly:true
Check whether the second cookie is HTTPOnly:false

以上是如何在Java中设置HttpOnly Cookie？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文转载于：亿速云。如有侵权，请联系admin@php.cn删除

JVM如何促进Java的'写作一次，在任何地方运行”（WORA）功能？May 02, 2025 am 12:25 AM

JVM通过字节码解释、平台无关的API和动态类加载实现Java的WORA特性：1.字节码被解释为机器码，确保跨平台运行；2.标准API抽象操作系统差异；3.类在运行时动态加载，保证一致性。

Java的较新版本如何解决平台特定问题？May 02, 2025 am 12:18 AM

Java的最新版本通过JVM优化、标准库改进和第三方库支持有效解决平台特定问题。1）JVM优化，如Java11的ZGC提升了垃圾回收性能。2）标准库改进，如Java9的模块系统减少平台相关问题。3）第三方库提供平台优化版本，如OpenCV。

说明JVM执行的字节码验证的过程。May 02, 2025 am 12:18 AM

JVM的字节码验证过程包括四个关键步骤：1)检查类文件格式是否符合规范，2)验证字节码指令的有效性和正确性，3)进行数据流分析确保类型安全，4)平衡验证的彻底性与性能。通过这些步骤，JVM确保只有安全、正确的字节码被执行，从而保护程序的完整性和安全性。

平台独立性如何简化Java应用程序的部署？May 02, 2025 am 12:15 AM

Java'splatFormIndepentEncealLowsApplicationStorunonAnyOperatingsystemwithajvm.1）singleCodeBase：writeandeandcompileonceforallplatforms.2）easileupdates：updatebybytecodeforsimultaneDeployment.3）testOnOneOnePlatForforuluniverSalpeforuluniverSaliver.4444.4444

Java的平台独立性如何随着时间的流逝而发展？May 02, 2025 am 12:12 AM

Java的平台独立性通过JVM、JIT编译、标准化、泛型、lambda表达式和ProjectPanama等技术不断增强。自1990年代以来，Java从基本的JVM演进到高性能的现代JVM，确保了代码在不同平台的一致性和高效性。

在Java应用程序中缓解平台特定问题的策略是什么？May 01, 2025 am 12:20 AM

Java如何缓解平台特定的问题？Java通过JVM和标准库来实现平台无关性。1）使用字节码和JVM抽象操作系统差异；2）标准库提供跨平台API，如Paths类处理文件路径，Charset类处理字符编码；3）实际项目中使用配置文件和多平台测试来优化和调试。

Java的平台独立性与微服务体系结构之间有什么关系？May 01, 2025 am 12:16 AM

java'splatformentenceenhancesenhancesmicroservicesharchitecture byferingDeploymentFlexible，一致性，可伸缩性和便携性。1）DeploymentFlexibilityAllowsibilityAllowsOllowsOllowSorlowsOllowsOllowsOllowSeStorunonAnyPlatformwithajvM.2）penterencyCrossServAccAcrossServAcrossServiCessImplifififiesDeevelopmentandeDe