Cookie设置HttpOnly属性,防止前端脚本更改cookie的XSS攻击

最新推荐文章于 2024-02-21 12:00:00 发布
最新推荐文章于 2024-02-21 12:00:00 发布
阅读量8.4k 收藏 3
点赞数
分类专栏: JAVA

Tomcat版本为6.0.39,JDK版本为1.6update45

在Web工程上增加一个Filter对Cookie进行处理

    public class CookieFilter implements Filter {  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            HttpServletRequest req = (HttpServletRequest) request;  
            HttpServletResponse resp = (HttpServletResponse) response;  
      
            Cookie[] cookies = req.getCookies();  
      
            if (cookies != null) {  
                    Cookie cookie = cookies[0];  
                    if (cookie != null) {  
                        /*cookie.setMaxAge(3600); 
                        cookie.setSecure(true); 
                        resp.addCookie(cookie);*/  
                          
                        //Servlet 2.5不支持在Cookie上直接设置HttpOnly属性  
                        String value = cookie.getValue();  
                        StringBuilder builder = new StringBuilder();  
                        builder.append("JSESSIONID=" + value + "; ");  
                        builder.append("Secure; ");  
                        builder.append("HttpOnly; ");  
                        Calendar cal = Calendar.getInstance();  
                        cal.add(Calendar.HOUR, 1);  
                        Date date = cal.getTime();  
                        Locale locale = Locale.CHINA;  
                        SimpleDateFormat sdf =   
                                new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);  
                        builder.append("Expires=" + sdf.format(date));  
                        resp.setHeader("Set-Cookie", builder.toString());  
                    }  
            }  
            chain.doFilter(req, resp);  
        }  
      
        public void destroy() {  
        }  
      
        public void init(FilterConfig arg0) throws ServletException {  
        }  
    }  
XML中的设置
<ol class="dp-xml" start="1"><li class="alt"><span><span class="tag"><</span><span class="tag-name">filter</span><span class="tag">></span><span>  </span></span></li><li><span>    <span class="tag"><</span><span class="tag-name">filter-name</span><span class="tag">></span><span>cookieFilter</span><span class="tag"></</span><span class="tag-name">filter-name</span><span class="tag">></span><span>  </span></span></li><li class="alt"><span>    <span class="tag"><</span><span class="tag-name">filter-class</span><span class="tag">></span><span>com.sean.CookieFilter</span><span class="tag"></</span><span class="tag-name">filter-class</span><span class="tag">></span><span>  </span></span></li><li><span><span class="tag"></</span><span class="tag-name">filter</span><span class="tag">></span><span>  </span></span></li><li class="alt"><span>  </span></li><li><span><span class="tag"><</span><span class="tag-name">filter-mapping</span><span class="tag">></span><span>  </span></span></li><li class="alt"><span>    <span class="tag"><</span><span class="tag-name">filter-name</span><span class="tag">></span><span>cookieFilter</span><span class="tag"></</span><span class="tag-name">filter-name</span><span class="tag">></span><span>  </span></span></li><li><span>    <span class="tag"><</span><span class="tag-name">url-pattern</span><span class="tag">></span><span>/*</span><span class="tag"></</span><span class="tag-name">url-pattern</span><span class="tag">></span><span>  </span></span></li><li class="alt"><span><span class="tag"></</span><span class="tag-name">filter-mapping</span><span class="tag">></span><span>  
</span></span></li></ol>如果你已有过滤器,也可以将上述代码直接放在自己的过滤器里面
 添加成功后,F12 查看网络-cookie 下方是否显示httponly 显示的话,说明设置成功。


且随疾风
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java使用Filter给cookie添加HTTPOnly属性
attacht的博客
11-18 1487
web.xml配置过滤器 <filter> <filter-name>HttpOnlyFilter</filter-name> <filterclass>com.attacht.web..filter.HttpOnlyFilter</filter-class> </filter> <filter-mapping> <filter-name>HttpOnlyFilter</filter-nam
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java代码漏洞检测-常见漏洞与修复建议
最新发布
xnxqwzy的博客
02-21 1357
背景:在工作,项目交付团队在交付项目时,客户方可能会有项目安全要求,会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞,代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞为代码检漏洞.
Session新增secure和httpOnly策略
s13166803785的博客
06-11 1350
1、添加HttpOnly和secure属性(用过滤器实现) 根据之前的说明,GlassFish2不支持Session CookieHttpOnly属性,以及secure属性也需要自己进行设置,所以最后的处理方法是:在工程各添加一个Filter,对请求的入口页面(或者是请求后跳转到的第一个客户可见的页面,一般是登陆页面),重新设置客户端的session属性。 (response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";Path=
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 5809
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7839
Cookie 有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
web渗透测试----33、HttpOnly
七天
06-07 1329
HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性,用以阻止客户端脚本访问Cookie,至今已经称为一个标准,几乎所有的浏览器都会支持HttpOnly。 下面示例显示了HTTP响应标头HttpOnly使用的语法: Set-Cookie: <name>=<value>[; <Max-Age>=<age>] `[; expires=<date>][; domain=&lt
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1299
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
CookieHttpOnly的使用方式以及用途
热门推荐
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie.cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
第九节 cookiehttponly设置-01
09-15
第九节 cookiehttponly设置-01
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1444
1.什么是HttpOnly?如果您在cookie设置HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie
Tomcat为Cookie设置HttpOnly属性
weixin_34081595的博客
03-29 1359
A:Tomcat 维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的;B:服务端可以自定义建立Cookie对象及属性传递到客户端;服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http***);方法...
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 8835
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookiehttponly和samesite属性
会话cookie 缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
【系统安全】cookie设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 9421
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
会话Cookies未被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 8531
会话Cookies未被标记为HTTPOnly 漏洞描述 如果在cookie设置HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie设置HttpOnly标志。 除非你特别要求在你的应用程序,通过合法的
Cookie设置HttpOnly属性
06-07
在服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述代码,`setHttpOnly(true)` 方法可以设置CookieHttpOnly属性为true。当浏览器接收到这个Cookie时,会将HttpOnly属性设置为true,从而防止通过JavaScript读取Cookie信息。 需要注意的是,HttpOnly属性只能防止通过JavaScript读取Cookie信息,但是无法防止其他方式的攻击,比如通过网络嗅探等方式,因此还需要采取其他安全措施来保护Web应用程序的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值