安全修复之Web——会话Cookie中缺少HttpOnly属性

背景

日常我们开发时，会遇到各种各样的奇奇怪怪的问题（踩坑o(╯□╰)o），这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。

开发环境

• 系统：windows10
• 语言：Golang
• golang版本：1.18

内容

错误

会话Cookie中缺少HttpOnly属性

安全限定：

Cookie的HttpOnly设定是由微软IE6时实现的，当前已成为标准，这个限定能有效限定Cookie劫持、限定客户端修改携带httpOnly属性的cookie键值对。同时由于它的安全限定较高，有一些业务在增加上该限定后无法有效获取到Cookie，因此在使用时还是需要根据业务场景进行使用。

启用方式：

gin框架下设置cookie的HttpOnly，第七个参数设置为true：

// 设置cookie时，后面两个bool值就是分别设置Secure和HttpOnly的设置
c.SetCookie("token", "ez3214hrjkh3y42kjahsjdfhsexzferwr2234", 3600, "/", "localhost", false, true)

本文声明：

88x31.png
知识共享许可协议
本作品由 cn華少 采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可。