Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全性

最新推荐文章于 2024-03-01 17:44:31 发布
最新推荐文章于 2024-03-01 17:44:31 发布
阅读量7.3k 收藏 6
点赞数 2
分类专栏: Cookie 文章标签: HttpOnly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen940075318/article/details/72717575
版权

由于最近公司的项目做了安全评测,里面有一项是关于HttpOnly的.所以了总结一下...  废话不多说,先来说下它是干什么的吧.


       随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,就需要用到cookie和session,无论是什么,都是为了让服务器端获得一个token来检查合法性,很多时候都是在cookie中存储一个JsessionID,服务器来识别该用户,那么安全隐患也就引申而出了,只要获得这个cookie,就可以取得别人的身份,特别是管理员等高级权限帐号时,危害就大了,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie。



1. 在拦截器中将需要的操作的cookie属性,使用response进行写回.

package com.pzdf.eqihua.sms.interceptor;

import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;


/**
 * <p>使用拦截器设置cookie的HttpOnly.</p>
 * <p>是为了防止XSS攻击,窃取cookie的内容.</p>
 * @author chenkangjing
 * @time 2017.5.24
 */
public class HttpOnlyInterceptor implements HandlerInterceptor {

	@Override
	public void afterCompletion(HttpServletRequest request,
			HttpServletResponse response, Object arg2, Exception Exception)
			throws Exception {
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response,
			Object arg2, ModelAndView arg3) throws Exception {
		Cookie[] cookies = request.getCookies();
		
		if (cookies != null) {
			Cookie cookie = cookies[0];
			if (cookie != null) {
				// serlvet 2.5 不支持在 Cookie 上直接设置 HttpOnly 属性.
				String value = cookie.getValue();
				
				StringBuilder builder = new StringBuilder();
				builder.append("JSESSIONID=" + value + "; ");
				builder.append("Secure; ");
				builder.append("HttpOnly; ");
				
				Calendar calendar = Calendar.getInstance();
				calendar.add(Calendar.HOUR, 1);
				Date date = calendar.getTime();  
			    Locale locale = Locale.CHINA;
			    
			    SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);  
			    builder.append("Expires=" + sdf.format(date));  
			    
                response.setHeader("Set-Cookie", builder.toString());  
			}
		}
	}

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
			Object arg2) throws Exception {
		
		return true;
	}

}

2. 在SpringMvc的配置文件中配置拦截器. 这里配置的是对所有访问.do的控制. 
<mvc:interceptors>
	<mvc:interceptor>
		<mvc:mapping path="/**/*.do"/>
		<bean class="com.pzdf.cms.intercepter.HttpOnlyInterceptor"></bean>
	</mvc:interceptor>
</mvc:interceptors>




Bruce-Chan
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用安全:XSS的辅助性对策.pptx
06-17
XSS的辅助性对策 1 HttpOnly 2 CSP 3 其他辅助对策 目录 HttpOnly HttpOnly最早是由微软提出,并在IE 6实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。也就是说HttpOnly是为了对抗XSS后的Cookie劫持。 HttpOnly是在Set-Cookie时被标记的。服务器可能会设置多个Cookie,而HttpOnly可以有选择性地加在任何一个Cookie值上。在某些时候,应用可能需要JavaScript访问某几项Cookie,这种Cookie可以不设置HttpOnly标记;而仅把HttpOnly标记给用于认证的关键Cookie。 HttpOnly CSP 内容安全策略( CSP ): 内容安全策略是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览
springboot实现cookie的HttpOnly设置
qq_33164327的博客
12-04 795
Cookie设置HttpOnly属性
Nginx+SpringBoot 部署前后端分离项目(http配置https配置
Treasure的博客
10-01 2万+
前言: 博客里不缺乏这样的博文。但是基本都是copy同一个文章出来的。我总结一下,做一个简单的说明。内容主要讲解 springboot 项目需要做的配置,以及ngxin需要做的配置,以及在https下证书需要做的配置。 一:spring boot 项目需要做的配置 在 application-yml 里做如下配置。注意,此处重点看servlet.context-path 配置 # Tomcat 配置 server: port: 8088 tomcat: uri-e...
spring配置拦截器
最新发布
weixin_44522680的博客
03-01 618
1.创建拦截器实现HandlerInterceptor接口2.配置拦截器3.测试拦截器的拦截效果例子:创建拦截器MyInterceptor1System.out.println("目标资源执行......");//在目标方法之前执行//返回true代表放行,后续的操作可以进行,返回false代表不放行,后续的操作都不能执行//在目标方法执行之后,视图对象返回之前执行//在整个流程都执行完毕后执行--配置拦截器-->--对哪些资源执行拦截操作-->
Spring Boot -Cookies
allway2的博客
01-29 1778
Spring Boot - Cookies | Xing's Bloghttps://xinghua24.github.io/SpringBoot/Spring-Boot-Cookies/ 让我们学习如何在 Spring Boot 应用程序使用 cookie。 什么是 HTTP Cookie HTTPcookie(Web cookie,浏览器 cookie)是服务器发送到用户 Web 浏览器的一小段数据。浏览器可以存储它并将其与以后的请求一起发送回同一服务器。通常,它用于判断两个请求是否来自同.
【业务功能篇58】Springboot + Spring Security 权限管理 【篇】
studyday1的博客
07-29 1629
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)互联网的认证用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人什么是JWTJWT是一种基于 Token 的****认证授权机制JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。
SpringBoot HTTP接口实战
fsd1112的博客
05-25 516
作用于形参列表上,用于将前台发送过来固定格式的数据【xml 格式或者 json等】封装为对应的 JavaBean 对象,封装时使用到的一个对象是系统默认配置HttpMessageConverter进行解析,然后封装到形参上。作用于方法上,@RequestParam 注解配合 @RequestMapping 一起使用,可以将请求的参数同处理方法的参数绑定在一起。使用在控制层(controller)的方法上,将方法的返回值,以特定的格式写入到response的body区域,进而将数据返回给客户端。
安全开发:Spring Boot 打开 HttpOnly 和 Secure 属性
回纹勾边宝相花团
06-08 1万+
应用上线,需要修复安全问题,需要为 Cookie 设置 “HttpOnly” 和 “Secure” 属性。 HttpOnly 设置方法 配置 默认值 说明 server.servlet.session.cookie.http-only true 是否对会话 cookie 使用 "HttpOnly"cookie。 默认 D:\learn\learn-java\spring-boot-high-concurrency>curl http://localhost:8080/stuff
03_springboot整合cookie
一个搬砖工人
03-03 1245
HTTP Cookie(也称为web Cookie、浏览器Cookie)是服务器存储在用户浏览器的一小块信息。服务器在返回浏览器请求的响应时设置cookies。浏览器存储cookies,并将它们与下一个请求一起发送回同一服务器。Cookie通常用于会话管理、用户跟踪和存储用户首选。Cookies帮助服务器跨多个请求记住客户机。如果没有cookies,服务器将把每个请求都当作一个新的客户机来处理。 1 Reading HTTP Cookie Spring框架提供@CookieValue注释来获取任何http
如何利用response.addHeader()方法设置cookie
热门推荐
shandalue的专栏
07-02 2万+
将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java设置cookie是HttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
Springboot登录后关于cookie和session拦截问题的案例分析
09-07
主要介绍了Springboot登录后关于cookie和session拦截案例,本文通过实例图文相结合给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Linux服务器下nginx的安全配置详解
09-30
本篇文章主要介绍了Linux服务器下nginx的安全配置详解,Nginx在很多高流量网站上得到了应用,有需要的朋友可了解一下。
Web安全深度剖析(张柄帅)
07-25
全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些...
浅谈php(codeigniter)安全性注意事项
12-20
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。 要用框架的ci_session,更长的位数,httponly,这些默认都配好了。 不要用原生的phpsession,而要用ci_session。ci_...
http拦截器.apk
02-26
vxp 拦截Android 网络请求 进行网络抓包! 抓起API,如: 请求头 Content-Type: text/plain; charset=UTF-8 Date: Mon, 17-Feb-2020 09:44:07 GMT Set-Cookie: NSC_ESNS=268be8cb-6067-1e4a-9678-00e0ed457f...
secure_headers:使用许多安全默认值管理安全头的应用
02-01
gem将自动应用与安全性相关的多个标头。 这包括: 内容安全策略(CSP)-帮助检测/预防XSS,混合内容和其他类别的攻击。 HTTP严格传输安全性(HSTS)-确保浏览器从不访问网站的http版本。 防御SSLStrip / ...
springsecurity httponly
05-13
HttpOnly是一个安全特性,用于保护网站免受跨站点脚本攻击(XSS)。Spring Security是一个安全框架,提供了一些内置的安全...这个配置将启用HttpOnly标志,并将其添加到session cookie,从而增强应用程序安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值