2. 程式人生 > >安全問題-Cookie未設定HttpOnly&&Cookie未設定Secure標識

安全問題-Cookie未設定HttpOnly&&Cookie未設定Secure標識

阿新 發佈:2019-01-30

阿里機測的系統漏洞(懶得打字,給報告部分截圖):
在這裡插入圖片描述

在這裡插入圖片描述

在這裡插入圖片描述

在這裡插入圖片描述

問題解決:

過濾器處理一下就行了

CookieFilter.java

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class CookieFilter
 * 
 * 解決 Cookie未設定HttpOnly  &&  Cookie未設定Secure標識  問題
 * 
 * @author xiaheshun
 */
public class CookieFilter implements Filter {

    /**
     * Default constructor. 
     */
    public CookieFilter() {
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}

	/**
	 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
	 */
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request; 
		HttpServletResponse resp = (HttpServletResponse)response;
		Cookie[] cookies = req.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				String value = cookie.getValue();
				StringBuilder builder = new StringBuilder();
				builder.append(cookie.getName()+"="+value+";");
				builder.append("Secure;");//Cookie設定Secure標識
				builder.append("HttpOnly;");//Cookie設定HttpOnly
//				Calendar cal = Calendar.getInstance();
//				cal.add(Calendar.HOUR, 1);
//				Date date = cal.getTime();
//				Locale locale = Locale.CHINA;
//				SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
//				builder.append("Expires="+sdf.format(date));
				resp.addHeader("Set-Cookie", builder.toString());
				
			}
			
		}
		chain.doFilter(request, response);
	}

	/**
	 * @see Filter#init(FilterConfig)
	 */
	public void init(FilterConfig fConfig) throws ServletException {
		// TODO Auto-generated method stub
	}

}

web.xml

<!--xiaheshun 阿里雲檢測漏洞問題   解決   Cookie設定HttpOnly  &&  Cookie設定Secure標識  -->
	<filter>
		<filter-name>cookieFilter</filter-name>
		<filter-class>com.hxptp.filter.CookieFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>cookieFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>

解決成果:

此處不列舉自己公司的截圖,用蘑菇街的截圖。

在這裡插入圖片描述

可能遇到的小小坑…也可能就我碰到的。

在設定Set-Cookie的時候,用addHeader,如果用setHeader的話,就只是設定一個cookie值得頭資訊限制,其實在平時會有很多cookie裡的主要引數資訊需要限制,有的訊息也會有不同的瀏覽器可以儲存的時間,所有要一個一個遍歷出來設定Cookie的資訊。

程式碼中有設定過期時間的,註釋掉了,需要的時候,可以拿出來用。

相關推薦

安全問題-Cookie設定HttpOnly&&Cookie設定Secure標識

阿里機測的系統漏洞(懶得打字,給報告部分截圖): 問題解決: 過濾器處理一下就行了 CookieFilter.java import java.io.IOException; import java.text.SimpleDateFormat; imp

Tomcat為Cookie設定HttpOnly屬性

A:Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的儲存在服務端使用者狀態資訊的; B:服務端可以自定義建立Cookie物件及屬性傳遞到客戶端; 服務端建立的Cookie如果沒有設定HttpOnly屬性,則在客戶端可以用js讀取Cookie

JS對瀏覽器Cookie的操作,查詢、設定以及刪除

JavaScript是執行在客戶端的指令碼,因此一般是不能夠設定Session的,因為Session是執行在伺服器端的。 而cookie是執行在客戶端的,所以可以用JS來設定cookie. 假設有這樣一種情況,在某個用例流程中,由A頁面跳至B頁面,若在A頁面中採用JS用變數temp儲存了某一變數的值,在B

okhttp 設定持久cookie 出現 ConcurrentHashMap keySet( ) 的問題

No virtual method keySet()Ljava/util/concurrent/ConcurrentHashMap$KeySetView 在Java8 的編譯環境中 ConcurrentHashMap 的keySet()方法是不存在的 需要將Concurre

Chrome Cookie 無法設定 本地Cookie

在 Chrome 66.0.3359.117 版本下,js或者 jquery 設定 cookie時,不要設定 過期時間,如果設定過期時間,Chrome 會認為是不安全設定,無法 傳送到服務端,頁面重新整理後Cookie就會消失。非要設定過期時間,請在 服務端設定Cookie過

3dxmax中報錯system.NullReferenceException將物件引用到設定到物件例項Autodesk.Max.Manager.RegisterLoadplugins()

1. 開啟C盤,設定資料夾檢視選項,設定能夠檢視隱藏的資料夾:   2. 在C盤中找到你的賬戶所在目錄:C:\Users\使用者名稱,點選進去會發現APPdata這個資料夾   3. 開啟APPData資料夾,找到:local和Roaming資料夾

JSP:Cookie的建立,讀取,設定時期和刪除

比較簡單,主要為了個人記憶和查詢 <%@ page language="java" contentType="text/html; charset=GB18030" pageEncoding="GB18030"%> <!DOCTYPE html>

在PHP中頂級域名設定cookie與二級域名之間的cookie共用

在專案中,我們可能會遇到再定於域名登陸後,他所有下級全部自動登入 或者幾個二級域名登入,這就需要我們獲取頂級域名的cookie進行判斷。 頂級域名只能設定domain為頂級域名,不能設定為二級域名或者三級域名等等,否則cookie無法生成。 如lishichao

js無法獲取.net設定cookie

使用CookieHelper幫助類: public class CookieHelper { #region 獲取Cookie /// <summary> /// 獲得Cookie的值 /// </su

ASP.NET讀取ASP設定Cookie

    這類問題通常在整合或二次開發ASP網站時遇到。按常理來說,瀏覽器的Cookie存放在客戶端,實際上與服務端使用什麼語言無關,但我們在實際操作過程中,總會遇到一些意想不到的問題。     1. 當ASP寫的Cookie的Key中帶有下劃線,例如我們在ASP中這樣設定Co

網站安全設定HttpOnly的方法

1.  問題說明      如果我們為Cookie設定HttpOnly的屬性,那麼就可以防止系統有Cookie的資訊洩露。比如,我們使用javascript:alert(document.cookie)的主語句就可以檢視自己的Cookie的資訊是還洩露了。自己的Cookie

nodejs(express4.0)設定中文cookie無效

通過express4.0的cookies方法設定cookie時,寫了中文的cookie值,一直失敗。程式碼如下:req.cookies.set('userInfo',JSON.stringify({ _id:userInfo._id, username:use

C#報無法將 Owner 屬性設定為之前顯示的 Window錯誤

C#下WPF主窗體中載入別的Windows窗體時報: 無法將 Owner 屬性設定為之前未顯示的 Window的錯誤,程式碼: public MainWindow() {

nodejs 設定中文cookie無效

通過koajs的cookies方法設定cookie時,寫了中文的cookie值,一直失敗。程式碼如下: this.cookies.set('test', '我是koajs') 報錯如下: sent error argument value is invalid to t

ionic之如何設定輸入框輸入時按鈕不可點選,有輸入值時按鈕自動變為可點選

首先貼出演示結果: 那麼如何開發這種效果呢?用到了Angular.js中的ng-disabled屬性: 核心程式碼如下: HTML: //提現按鈕部分: <div class="button-standard-container"> <b

登入退出時設定cookie,獲取cookie,刪除cookie,捨棄jquery.cookie.js外掛

前言:公司以前用的jquery.cookie.js外掛來存取刪cookie,要求退出登入時,刪除cookie,在未正常退出登入時,下次登入可自動登入,but用該外掛的$.cookie("username",null,-1);並不管用,查了一些方法解決好像並不管用,可能本人外掛

設定cookie之後立即讀取的怎麼不一樣? cookie裡面的“貓膩”

比如在我們的php程式碼中這樣寫: setcookie('user','fei',time()+3600); echo $_COOKIE['user']; 這個時候我們會發現,輸出是null,甚至會報錯,說undefined的user,下面上圖是第一次請求的 然後這是第二

Session是通過利用設定Cookie中的id來區分訪問的使用者

面試的時候被問到 了Session是通過什麼區分每一個使用者的,當時有點緊張,支支吾吾半天,現參照了網上內容整合並做了部分修改做一個詳細的解讀,再次感謝所有大神,一起成長 1、當使用下面這句建立session的時候, HttpSession session

check,checkbox 設定選中和選中

checkbox $('#checkbox').attr('checked',true) //將輸入框的狀態設定為checked $('#checkbox').attr('checked',fal

安全測試之session,cookie

最大 區分 瀏覽器和服務器 長時間 如何 臺電 是不是 也看 狀態 session session機制是一種服務器端的機制,服務器使用一種類似於散列表的結構(也可能就是使用散列表)來保存信息。?但程序需要為某個客戶端的請求創建一個session的時候,服務器首先檢查這個