XSS跨站脚本攻击见:http://www.jb51.cc/article/p-nwnmucyf-bch.html
为增加安全性,服务器为cookie设置HttpOnly属性。
对于Tomcat 7.0.x以上的版本,可以在应用的web.xml文件中增加如下配置:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure> <!-- 启用HTTPS后,建议配置这行,仅在安全通道时传输Cookie,提升安全性 -->
</cookie-config>
<session-config>
Apache Tomcat官方 Cookie类 的文档,可以发现从7.0.x版本可以通过 Cookie 类对象的API来设置 httpOnly 属性:
/** * Sets the flag that controls if this cookie will be hidden from scripts on the client side. */
setHttpOnly(boolean httpOnly)
打开Chrome调试器的DEBUG面板,在右边选择Application,这时在下边可以看到Chrome缓存的cookie数据。如果HTTP列有对勾,说明对应行的cookie设置了HttpOnly属性。
angularjs发现加载的模板html全是XHR请求,是因为angularjs使用XHR加载tpl文件。
在Java WEB项目,比如在Server端的JSP中判断如下:
if (request.getHeader("x-requested-with") != null
&& request.getHeader("x-requested-with").equalsIgnoreCase("XMLHttpRequest")) {
out.print("该请求是 AJAX 异步HTTP请求。");
}else{
out.print("该请求是传统的 同步HTTP请求。");
} 原文链接:https://www.f2er.com/angularjs/147353.html