javax.servlet.http.Cookie.setHttpOnly(Z)V

最新推荐文章于 2023-09-27 21:50:29 发布
最新推荐文章于 2023-09-27 21:50:29 发布
阅读量1.1w 收藏 2
点赞数 1
分类专栏: servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/estelle_belle/article/details/51751474
版权
java.lang.NoSuchMethodError: javax.servlet.http.Cookie.setHttpOnly(Z)V
使用tomcat6 转换为7  即可

在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全,避免一定程度的跨站攻击。


利用拦截器实现,判断每次请求的响应是否包含SET-COOKIE头部,重写会话Cookie,添加需要的属性。虽较为生硬,但灵活性强。
新的规范API
新的规范添加SessionCookieConfig接口,用于操作会话Cookie,需要掌握以下主要方法:

    setName(String name)
    修改Session ID的名称,默认为"JSESSIONID"
    setDomain(String domain)
    设置当前Cookie所处于的域
    setPath(String path)
    设置当前Cookie所处于的相对路径
    setHttpOnly(boolean httpOnly)
    设置是否支持HttpOnly属性
    setSecure(boolean secure)
    若使用HTTPS安全连接,则需要设置其属性为true
    setMaxAge(int maxAge)
    设置存活时间,单位为秒

如何使用呢,很方便,在ServletContextListener监听器初始化方法中进行设定即可;下面实例演示如何修改"JSESSIONID",以及添加支持HttpOnly支持:

/** 全局设置Session-Cookie相交互部分属性

* @author yongboy
* @date 2011-1-19
* @version 1.0
*/
@WebListener
public class SessionCookieInitialization implements ServletContextListener {
private static final Log log = LogFactory
   .getLog(SessionCookieInitialization.class);

public void contextInitialized(ServletContextEvent sce) {
  log.info("now init the Session Cookie");

  ServletContext servletContext = sce.getServletContext();

  SessionCookieConfig sessionCookie = servletContext
    .getSessionCookieConfig();
  sessionCookie.setName("YONGBOYID");
  sessionCookie.setPath(servletContext.getContextPath());
  sessionCookie.setHttpOnly(true);
  sessionCookie.setSecure(false);

  log.info("name : " + sessionCookie.getName() + "\n" + "domain:"
    + sessionCookie.getDomain() + "\npath:"
    + sessionCookie.getPath() + "\nage:"
    + sessionCookie.getMaxAge());

  log.info("isHttpOnly : " + sessionCookie.isHttpOnly());
  log.info("isSecure : " + sessionCookie.isSecure());
}

public void contextDestroyed(ServletContextEvent sce) {
  log.info("the context is destroyed !");
}
}

需要通过ServletContext对象获得SessionCookieConfig对象,才能够进一步自定义session cookie的名字等属性。
无论以前的硬编码还是新的API实现,目标都是一致的,所产生头部信息也是完全一致。毫无疑问,后者更为方便快捷,省缺了显示的操作响应元数据。
对当前站点的第一次请求,很容易从响应头信息中看到Set-Cookie的属性值:

image


不同浏览器平台上测试

    在Safari、IE8、Opera 11 一切都很正常
    Firefox 3.6、Chrome 9.0,JSESSIONID会继续存在:

        YONGBOYID=601A6C82D535343163B175A4FD5376EA; JSESSIONID=AA78738AB1EAD1F9C649F705EC64D92D; AJSTAT_ok_times=6; JSESSIONID=abcpxyJmIpBVz6WHVo_1s; BAYEUX_BROWSER=439-1vyje1gmqt8y8giva7pqsu1

    在所有浏览器中,SESSION ID等于新设置的YONGBOYID值(若不相等,问题就严重了!)
    在客户端JS无法获得正确的SESSIONI ID了。

Tomcat服务器内置支持

在Tomcat 6-7,可以不用如上显示设置Cookie domain、name、HttpOnly支持,在conf/context.xml文件中配置即可:

    <Context useHttpOnly="true", sessionCookieName="YONGBOYID", sessionCookieDomain="/servlet3" … >
    ...
    </Context>

既然JAVA应用服务器本身支持会话Cookie设定,那就没有必要在程序代码中再次进行编码了。这是一个好的实践:不要重复造轮子。
这里给出一段测试Session重写的一段脚本:

<div style="margin: 40px; paddding: 10px">
<div><a href="sessionCookieTest">正常连接</a></div>
<div><a href="<%=response.encodeURL("sessionCookieTest") %>">重定向连接</a></div>
</div>

会被重写的URL地址类似于:

    http://localhost/servlet3/sessionCookieTest;YONGBOYID=19B94935D50245270060E49C9E69F5B6 

嗯,在取消会话Cookie之后,可以直接看到修改后的SESSION ID名称了,当然这时候HttpOnly属性也没有多大意义了。
有一点别忘记,设置HttpOnly之后,客户端的JS将无法获取的到会话ID了。
进阶阅读:

    维基对HttpOnly的解释
    利用HTTP-only Cookie缓解XSS之痛
    Tomcat Context 属性
    HttpOnly cookie与跨站点追踪

沙漏无语
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB安全漏洞之Cookie中缺少相关安全属性(HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie中缺少HttpOnly属性;2.Cookie中缺少Secure属性。 HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
javax.servlet 的JAR包
08-24
javax.servlet JAR包,解决找不到 import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; jar包问题
web server tomcat 7设置 cookie httpOnly
weixin_45457937的博客
07-29 2300
在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml <Context useHttpOnly="true"></context> 2、修改tomcat/conf/web.xml <session-config> <cookie-config> <......
Servlet 3.0笔记之会话Cookie设置相关 java.lang.NoSuchMethodError: javax.servlet.http.Cook
mauersu
10-20 780
源:http://www.blogjava.net/yongboy/archive/2011/01/19/346200.html 评: java.lang.NoSuchMethodError: javax.servlet.http.Cookie.setHttpOnly(Z)V 使用tomcat6 转换为7 即可 ------- 在Servlet 3.0中增加对Cookie(请注意,这里...
servletcookie详解
m0_49828549的博客
03-01 1744
一、Cookie概述 javax.servlet.http.Cookie类用于创建一个Cookie,response接口也中定义了一个addCookie方法,它用于在其响应头中增加一个相应的Set-Cookie头字段。 同样,request接口中也定义了一个getCookies方法,它用于获取客户端提交的Cookie。 二、Cookie类的方法 ①public Cookie(String name,String value),新建CookiesetValue与getValue方法 ③...
Java Servlet 2.5 设置 cookie httponly
weixin_30951389的博客
12-08 427
Servlet3.0 有 cookie.setHttpOnly(true); 多么人性化, Servlet 2.5 是没有这个方法的要这个曲线救国:cookie.setPath("; HttpOnly;"); thanks to :http://stackoverflow.com/questions/13147113/setting-an-httponly-cookie-wi...
Servlet API 3.0 --------------------- javax.servlet.http.Cookie 学习笔记
jiangyang100的博客
01-04 1980
一、什么是CookieCookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于 RFC2109 和 2965 中的都已废弃,最新取代的规范是RFC6265 。 二、Cookie的用途 因为HTTP协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式Web应用程序的实现。在典型的...
javax.servlet.jar下载
05-19
javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 javax.servlet.jar下载 ...
javax.servlet-3.0.0.v201112011016-API文档-中文版.zip
06-04
赠送jar包:javax.servlet-3.0.0.v201112011016.jar; 赠送原API文档:javax.servlet-3.0.0.v201112011016-javadoc.jar; 赠送源代码:javax.servlet-3.0.0.v201112011016-sources.jar; 赠送Maven依赖信息文件:...
javax.servlet-3.0.0.v201112011016-API文档-中英对照版.zip
06-12
赠送jar包:javax.servlet-3.0.0.v201112011016.jar; 赠送原API文档:javax.servlet-3.0.0.v201112011016-javadoc.jar; 赠送源代码:javax.servlet-3.0.0.v201112011016-sources.jar; 赠送Maven依赖信息文件:...
javax.servlet-api.jar.zip
11-27
文件中包含javax.servlet-api-3.0.1.jar,javax.servlet-api-3.1.0.jar,javax.servlet-api-4.0.0.jar,用来处理java项目运行中找不到servlet JAR的问题,需要的朋友可以下载
springboot升级后:java.lang.NoSuchMethodError: javax.servlet.http....
leehoward
10-08 705
springboot升级后:java.lang.NoSuchMethodError: javax.servlet.http....
JavaServletCookie 的读写
最新发布
Cosmoshhhyyy的博客
09-27 175
当谈到在Java Servlet中进行Cookie读写操作时,我们需要了解Cookie是什么以及如何在Servlet中使用它们。Cookie是一种小型文本数据,存储在客户端的浏览器中,并在之后的HTTP请求中发送回服务器。它们通常用于在不同的HTTP请求之间保存和传递信息,比如用户会话跟踪、个性化内容和其他状态信息。
解决weblogic异常ClassCastException, NoSuchMethodError, NoSuchFieldError...
Markix的博客
04-19 748
文章目录情景解决办法常见的冲突 情景 项目在tomcat运行正常,但是部署到weblogic总会报出ClassCastException, NoSuchFieldError, NoSuchMethodError…等等异常。 分析: 此类异常,大多可以归结为类库冲突导致。即weblogic类库已经包含了项目依赖的类库,程序运行时,同个模块的一些类从项目类库中加载,一些类从weblogic类库中加载,...
JavaWeb--------会话之Cookie和Session
詹煜彪9527
03-10 6021
一. 会话 1.1 会话简介 会话:指客户端(浏览器)和服务端之间的数据传输。客户端与服务器通信过程中,会产生一些数据。会话可简单理解为,用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。 ...
解决java.lang.NoSuchMethodError: javax.servlet.http.HttpServletResponse.setContentLengthLong(J)V。
HEALER__的博客
05-13 9340
在测试springMVC的文件的上传和下载的时候。文件的上传可以正常执行。到文件下载的时候。一直无法下载文件。页面一直无法访问。在一个controller中的文件上传却可以顺利执行。 控制台一直在报错: 严重: Servlet.service() for servlet [dispatcherServlet] in context with path [/springMVC] threw exception [Handler dispatch failed; nested exception is
cxf .jar 包 冲突 setXmlStandalone(Z)V
小天的博客
12-02 262
开发十年,就只剩下这套架构体系了! >>> ...
javax.servlet.http.HttpServlet 报错
09-11
对于 "javax.servlet.http.HttpServlet" 报错,通常是因为缺少相关的 servlet API 库或配置不正确。请确保您的项目包含了正确的 servlet API jar 文件,例如 "servlet-api.jar" 或 "javax.servlet-api.jar"。另外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值