禁止js获取sessionid

最新推荐文章于 2021-11-23 00:08:32 发布
最新推荐文章于 2021-11-23 00:08:32 发布
阅读量1.5k 收藏
点赞数
分类专栏: web javascript php
web 同时被 3 个专栏收录
707 篇文章 0 订阅
订阅专栏
php
346 篇文章 0 订阅
订阅专栏
javascript
80 篇文章 0 订阅
订阅专栏

禁止js获取sessionid

(2014-11-19 10:07:17)
转载
标签:

佛学

分类: javascript
一般扫描报告等级定为低危,如appscan。
 
一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。
 
Secure和HttpOnly:
 
Secure属性:
 
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
 
HttpOnly属性:
 
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
 
在Java的Web容器中设置该属性:
 
在Java的web应用里,我们要保护的有JSESSIONID这个cookie,因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的。所以这个cookie是不应该由客户端脚本来操作的,它很适合用HttpOnly来标识它。
在tomcat6和之前版本执行alert(document.cookie);会返回sessionid。
解决方法:
在tomcat6之前只能按照如下方法设置HttpOnly:
String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly"); 

对于tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:

在tomcat7中默认是true,不用修改
tomcat7返回的js代码 Set-Cookie: JSESSIONID=B7587AE3765290179B8CE4027545391F; Path=/cems2; HttpOnly


2

喜欢

阅读 (1183) 评论 (0) 收藏 (0) 转载 (0) 喜欢 打印 举报
已投稿到:
排行榜

转载列表:

    转载

    转载是分享博文的一种常用方式...

    Hustudent20080101
    关注
    专栏目录
    session的基本原理及安全性
    Again yy
    07-28 1818
    好吧,还是说点白话吧,在客户端记录的其实是一个sessionid,在服务器端记录的是一个key-value形式的数据结构,这里的key肯定是指sessionid了,value就代表session的详细内容。如果没有问题,我就不在这里啰嗦了。你网站上的运行的js代码并不一定是你写的,比如说一般网站都有一个发表文章或者说发帖的功能,如果别有用心的人在发表的时候填写了html代码(这些html一般是超链接或者图片),但是你的后台又没有将其过滤掉,发表出来的文章,被其他人点击了其中恶意链接时,就出事了。...
    php session和cookie使用说明
    12-18
    - `$httponly`:若设为1,则禁止JavaScript访问Cookie。 示例: ```php $value = 'something from somewhere'; setcookie('TestCookie', $value); setcookie('TestCookie', $value, time() + 3600); // 有效期1小时...
    JS页面获取 session 值,作用域和闭包学习笔记
    12-13
    本文实例讲述了JS页面获取 session 值,作用域和闭包。分享给大家供大家参考,具体如下: Javascript获取session的值: var name= "${sessioScope.变量名}"; 注意这里面需要使用 “” 把 El 表达式给括起来,否则就取不到数据。 JSP获取session的值: 可以直接${sessionScope.变量名},在标签里也是一样。 JSP获取URL的值: var name = "<%=request.getParameter("name")%>";//谨记:在""中的表达式‘<%= %>'结尾不能加‘;'号,且只能写一句。 var id = $
    js获取页面的sessionid
    阿O、不拽
    05-20 5968
    function getSessionId(){ var c_name = 'JSESSIONID'; if(document.cookie.length&gt;0){ c_start=document.cookie.indexOf(c_name + "=") if(c_start!=-1){ c_start=c_start + c...
    JS里面获取浏览器sessionId
    AnblackCat的学习笔记
    12-19 8815
    获取浏览器sessionId(JavaScript) 随便在一个地方写上 <input type="hidden" id="sessionId" /> 随后在script里面写上一个方法 function getSessionId() { var c_name = 'JSESSIONID'; if (document.cookie.length > 0) { c_star...
    禁用JavaWeb应用中URL上包含的jsessionid
    Junit的博客
    06-05 1368
      禁用JavaWeb应用中URL上包含的jsessionid 地址: http://www.360doc.com/content/10/0917/11/1542811_54322432.shtml ------------------------------------------- 1.第一次会有,这个东西的存在是有必要的, 如果浏览器不支持cookie,起码这个id会一直带着,这是...
    xss攻击之js获取请求头的sessionid
    qq_44737446的博客
    11-23 1718
    XSS攻击情景: 枸杞哥和人参佬都就职于打不倒企业,他们是铁哥们。枸杞哥经常浏览一些不可描述的网站(比如yellow.com),而且买了大会员。 人参佬也想看,但是没有资源,也不好意思问枸杞哥要。好在他技术够好,他自己建了一个砍一刀的网站(kanyidao.com),表面上是砍一刀的优惠信息,实际上是用来收集其他用户的cookie的。 一天枸杞哥在浏览的过程中,收到了一封来自人参佬的邮件,邮件说让枸杞哥帮忙砍一刀,并附上了链接 http://www.a.com?content=<script>w
    PHP中的session安全吗?
    12-18
    例如,攻击者可以通过网络嗅探工具捕获或在恶意网页中注入JavaScript代码来获取用户的SessionID。 其次,如果SessionID暴露在HTML源代码中,如上述例子所示,攻击者能够通过查看页面源代码找到敏感接口,从而直接...
    解决前后端分离 vue+springboot 跨域 session+cookie失效问题
    10-17
    2. **设置Session域**:确保Spring Boot应用服务器返回的Set-Cookie响应头中的Path和Domain属性设置正确,以便浏览器在正确的上下文中存储Session ID。 3. **代理服务器**:使用Nginx或其他反向代理服务器,让Vue...
    在django中,关于session的通用设置方法
    09-18
    1. `SESSION_COOKIE_NAME`:定义Session cookie在浏览器中的键名,默认为"sessionid"。 2. `SESSION_COOKIE_PATH`:设置cookie的作用路径,默认为"/",意味着整个网站范围。 3. `SESSION_COOKIE_DOMAIN`:如果不设置...
    session.js, Session.js 获取用户会话信息.zip
    09-18
    session.js, Session.js 获取用户会话信息 Session.js提供有关当前会话的信息。要使用:包括文件 session.js, 然后访问访问者对象。 它使用google加载器获取位置数据。 对于异步加载,请使用 window.session_loaded 回调。Live示例
    获取SessionID
    04-17
    获取 SessionID方法 获取 SessionID方法 获取 SessionID方法
    EL表达式之sessionScope
    kaminlee
    08-22 819
    EL 全名为Expression Language EL 语法很简单,它最大的特点就是使用上很方便。接下来介绍EL主要的语法结构: ${sessionScope.user.sex} 所有EL都是以${为起始、以}为结尾的。上述EL范例的意思是:从Session的范围中,取得 用户的性别。假若依照之前JSP Scriptlet的写法如下: User user = (Us...
    Cookie禁止JSESSIONID如何传递
    江城宴的博客
    12-28 2741
    当某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识, 如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此sess...
    js 获取sessionid_百战卓越班学员学习经验分享:页面js代码
    weixin_39943992的博客
    12-03 705
    点击页面产生的信息经过nginx保存到本地文件页面js代码这段js代码是在进入页面的时候就开始执行,模拟用户进入页面产生的信息,它的入口是autoLoad方法(function() { var CookieUtil = { // get the cookie of the key is name get : function(name) { var cookieName = enc...
    php,js获取sessionid的方法
    热门推荐
    笔记
    02-15 1万+
    session与cookie的联系请自行百度 PHP端获取sessionid var_dump(session_id());exit; 结果: string(26) "tkubqgk0q95vkfc3nt1eerl5f3" 页面js获取sessionid console.log(document.cookie.split("; ")); 结果: Ar
    已解决:在js获取不到session问题
    dchao
    05-12 3715
    js获取不到session的问题: var name = '<%=session.getAttribute("name")%>'; alert(name); 这里直接alert了<%=session.getAttribute(“name”)%>,哈哈哈哈卧槽,太真实了。 原因:<%=%>的方式是表示中间的代码为后台代码,不是在js获取后台变量的值...
    JS如何获取JSESSIONID
    Galaxy_wzs的博客
    03-08 9392
    问题描述:利用js试图获取cookies里面的JSESSIONID时,发现并不能获取: 原因是:JSESSIONID被设置成httpOnly了,这是为了防止XSS攻击。但是因为特殊的需求,需要从JS获取JSESSIONID,所以需要将这个属性去掉。 解决办法: 在Tomcat配置文件 context.xml里面添加这么一句: 然后就可以了: ...
    如何在JavaScript里取session的值
    aikinlaile的博客
    02-02 879
    1.在后台定义一个public类属性 例:public int ID         {             get { return ((UserInfos)Session["CurrentUser"]).ID; }  //取出sessi里的ID         } 2.在JavaScript里调用后台取出的ID值 var id = '';
    js 获取cookie中的sessionid
    最新发布
    02-02
    在JavaScript中,可以通过`document.cookie`来获取当前页面的所有cookie。如果你想要获取特定的cookie,可以使用以下步骤来获取cookie中的sessionid: 1. 首先,使用`document.cookie`获取所有的cookie字符串。 2. 将获取到的cookie字符串分割成多个键值对。 3. 遍历这些键值对,找到名为"sessionid"的cookie。 4. 提取出"sessionid"的值,即为所需的sessionid。 下面是一个示例代码: ```javascript function getSessionId() { var cookies = document.cookie.split(";"); // 获取所有的cookie键值对 for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); // 去除空格 if (cookie.indexOf("sessionid=") === 0) { // 找到名为"sessionid"的cookie return cookie.substring("sessionid=".length, cookie.length); // 提取出sessionid的值 } } return ""; // 如果没有找到sessionid,则返回空字符串 } var sessionId = getSessionId(); console.log(sessionId); ``` 请注意,上述代码假设"sessionid"是以"sessionid="开头的cookie。如果你的cookie命名不同,请相应地修改代码中的字符串。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值