2. 程式人生 > >Tomcat為Cookie設定HttpOnly屬性

Tomcat為Cookie設定HttpOnly屬性

阿新 發佈:2019-01-19

A:Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的儲存在服務端使用者狀態資訊的;

B:服務端可以自定義建立Cookie物件及屬性傳遞到客戶端;

服務端建立的Cookie如果沒有設定HttpOnly屬性,則在客戶端可以用js讀取Cookie中的內容(客戶端指令碼可以讀取Session Cookie內容進行諸如CSRF/XSS惡意http攻擊);

方法:

為HttpSession安全性考慮,防止客戶端指令碼讀取Session Cookie內容進行諸如CSRF/XSS惡意http攻擊,可在tomcat6的conf/context.xml配置檔案中配置:

<Context useHttpOnly="true">

為自定義Cookie及屬性新增HttpOnly屬性,在Set-Cookie頭部資訊設定時可以新增“HttpOnly”

驗證:

1,抓包驗證任意http響應的內容,確實任意客戶端請求的迴應包含Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

GET /monitor/ HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)

Accept-Encoding: gzip, deflate

Host: 192.168.245.1

Connection: Keep-Alive





HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

Set-Cookie: lang=zh; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 2518

Date: Wed, 20 Jul 2016 08:14:42 GMT

2,在瀏覽器端除錯js指令碼,確實使用document.cookie讀取在服務端設定的Cookie物件時,讀取內容為空:

document.cookie    ""

相關推薦

TomcatCookie設定HttpOnly屬性

A:Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的儲存在服務端使用者狀態資訊的; B:服務端可以自定義建立Cookie物件及屬性傳遞到客戶端; 服務端建立的Cookie如果沒有設定HttpOnly屬性,則在客戶端可以用js讀取Cookie

TomcatCookie設置HttpOnly屬性

Tomcat HttpOnly A:Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的存儲在服務端用戶狀態信息的;B:服務端可以自定義建立Cookie對象及屬性傳遞到客戶端;服務端建立的Cookie如果沒有設置HttpOnly屬性,則在客戶端可以用js讀取Cookie中

PHP設定CookieHTTPONLY屬性

httponly是微軟對cookie做的擴充套件。這個主要是解決使用者的cookie可能被盜用的問題。    大家都知道,當我們去郵箱或者論壇登陸後,伺服器會寫一些cookie到我們的瀏覽器,當下次再訪問其他頁面時,由於瀏覽器回自動傳遞cookie,這樣就實現了一次登陸就可以看到所有需要登陸後才能看到的內容。

關於CookieHttpOnly屬性(java/web操作cookie+Tomcat操作jsessionid)

public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOExcept

Java 開發 | 安全篇 設定CookieHttpOnly屬性

這種配置攔截器通過response給cookie新增HttpOnly屬性、在某種情況下並太不合理、而且可能對專案有寫影響、我的專案在這麼做之後再Google瀏覽器沒有問題,但在FF和IE上、發現了問題。我們專案頁面用了tiles框架佈局,在LoginAction登入返回到struts result配置跳轉到

Cookie 缺少 HttpOnly屬性和x-frame-options 缺失問題

過濾器dofileter 方法中 新增 HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; res.addHead

java過濾器給Cookie加上HttpOnly屬性

網上擼下來的程式碼登入不了… 公司安全掃描出的漏洞之一,看到的第一步就是各種百度,但是簡單複製貼上過來的程式碼連登入都登入不上了… 尷尬;然後發現貌似cookie的Name和value沒有對應上,需要改一點點… 而且原始碼的doFilter(request,

sessionid 如何產生?由誰產生?儲存在哪裡?如何設定httpOnly屬性

背景 最近要掃描網站,提示網站漏洞,要給cookies加上httponly屬性。專案加到cookies裡的都加了後發現JSEESIONID這個居然不知道怎麼弄。 當然這是sessionid。 關於sessionid和cookies的含義內容、關係等暫時不討

Java開發 | 安全篇 Cookie設定secure屬性

What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用來管理web應用的session會話的cookies.這些cookie中儲存特定使用者的session ID標識,而且相同

有關cookiehttponly屬性相關

先記錄下相關網上的連結,有時間自己再總結一份自己的理解 對於很多隻依賴於cookie驗證的網站來說,HttpOnly cookies是一個很好的解決方案,在支援HttpOnly cookies的瀏覽器中(IE6以上,FF3.0以上),javascr

設定Jetty伺服器的cookiesecure和httponly

前一陣在搞一些伺服器安全加固的需求,因為用到Jetty伺服器,使用者要求傳送的cookie必須設定secure和httponly。從網上找了些資料,驗證了半天,分享出來。 比較簡單的方式是直接修改Jetty的配置檔案,預設情況下Jetty安裝後沒有這個檔案。 新建一個檔案命名為jetty-web.xml,放

淺談HTTP Cookie 的 Secure 和 HTTPONLY屬性

cape name col cap http 版本 span http協議 ring   最近工作中遇到了關於cookie的secure及httponly屬性的問題,所以關註並學習了一段時間,這裏做一下簡要記錄。關於secure和httponly標誌的用途可以參考wikip

GCC設定函式屬性constructor和destructor

cc允許為函式設定__attribute__ ((constructor))和__attribute__ ((destructor))兩種屬性,顧名思義,就是將被修飾的函式作為建構函式或解構函式。程式設計師可以通過類似下面的方式為函式設定這些屬性: void funcBef

Session CookieHttpOnly和secure屬性

一、屬性說明: 1 secure屬性 當設定為true時,表示建立的 Cookie 會被以安全的形式向伺服器傳輸,也就是隻能在 HTTPS 連線中被瀏覽器傳遞到伺服器端進行會話驗證,如果是 HTTP 連線則不會傳遞該資訊,所以不會被竊取到Cookie 的具體內容。 2 HttpOnly屬

Web專案:會話Cookie中缺少HttpOnly屬性和secure屬性

當會話Cookie中不含有HttpOnly屬性和secure屬性時,注入站點的惡意指令碼可能訪問此Cookie,並竊取它的值。任何儲存在會話令牌中的資訊都可能被竊取,並在稍後用於身份盜竊或使用者偽裝。 基本上,cookie 的唯一必需屬性是“name”欄位,必

tomcat中怎麼設定自己的專案預設專案,修改埠號

比如 我有個專案在d:\demo 我想 在瀏覽器中輸入localhost:8080 後直接訪問deme專案 有兩種方法。 方法一:將專案拷貝到webapps下,並將專案名稱改為ROOT; 方法二:設定虛擬路徑。修改tomcat/conf/server.xml的Cont

會話cookie中缺少HttpOnly屬性漏洞--分析解決

詳細描述會話cookie中缺少HttpOnly屬性會導致攻擊者可以通過程式(JS指令碼、Applet等)獲取到使用者的cookie資訊,造成使用者cookie資訊洩露,增加攻擊者的跨站指令碼攻擊威脅。HttpOnly是微軟對cookie做的擴充套件,該值指定cookie是否可

安全問題-Cookie設定HttpOnly&&Cookie設定Secure標識

阿里機測的系統漏洞(懶得打字,給報告部分截圖): 問題解決: 過濾器處理一下就行了 CookieFilter.java import java.io.IOException; import java.text.SimpleDateFormat; imp

cookie httponly屬性

http://blog.csdn.net/u014538198/article/details/41596735 arks the cookie as accessible only through the HTTP protocol. This means that

使用者設定批量登入到屬性

我們上次提到為使用者清除掉登陸到屬性,這次我們講怎麼設定登入到屬性,設定一臺機器的登入到屬性非常簡單,採用的命令是set-aduser就可以了。我們來看看怎麼來設定呢?其實真的很簡單。我們來看看怎麼做?點開ad的powershell Module,設定登入到的屬性不再是use