Web项目:会话Cookie中缺少HttpOnly属性和secure属性

最新推荐文章于 2024-06-14 16:04:46 发布
最新推荐文章于 2024-06-14 16:04:46 发布
阅读量1.2w 收藏 7
点赞数 2
分类专栏: WEB 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Agonie_25/article/details/81982400
版权

当会话Cookie中不含有HttpOnly属性和secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。

基本上,cookie 的唯一必需属性是“name”字段,必须设置“HttpOnly”属性,才能防止会话 cookie 被脚本访问。

解决方法:设立一个过滤器修改每次会话,为之添加”HostOnly”属性和“secure”属性。

package ...
public class ExampleFilter implements Filter {

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;  
        HttpServletResponse resp = (HttpServletResponse) response; 
        Cookie[] cookies = req.getCookies();

        if(tomcat版本>=7) {
            for(Cookie cookie : cookies) {
                cookie.setHttpOnly(true);
                cookie.setSecure(true);
            }
        } else if(tomcat版本<=6) {
            for(Cookie cookie : cookies) {
                String value = cookie.getValue();  
                StringBuilder builder = new StringBuilder();  
                builder.append("JSESSIONID=" + value + "; ");  
                builder.append("Secure; ");  
                builder.append("HttpOnly; ");  
                Calendar cal = Calendar.getInstance();  
                cal.add(Calendar.HOUR, 1);  
                Date date = cal.getTime();  
                Locale locale = Locale.CHINA;  
                SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale); 
                builder.append("Expires=" + sdf.format(date));  
                resp.setHeader("Set-Cookie", builder.toString()); 
            }
        }
        chain.doFilter(request,response);
    }
}
艾苟尼
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB安全漏洞之Cookie缺少相关安全属性HttpOnlySecure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
cookie设置httpOnlysecure属性实现及问题
01-03
### Cookie设置httpOnlysecure属性实现及问题 #### 一、引言 在现代Web开发,保护用户的隐私和数据安全至关重要。其一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
Web应用安全测试-防护功能缺失
最新发布
06-14 1333
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 6234
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
Django检测到会话cookie缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1175
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
检测到会话cookie缺少HttpOnly属性
Gblfy_Blog
12-25 6008
解决方案01:在会话cookie添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 解决方案02(建议使用):在会话cookie添加HttpOnly属...
安全修复之Web——会话Cookie缺少HttpOnly属性
CN華少的博客
05-02 1655
安全修复之Web——会话Cookie缺少HttpOnly属性 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang g...
AppScan安全扫描:加密会话(SSL)Cookie缺少Secure、会话 cookie 缺少 HttpOnly 属性
爱兰河少
01-30 4258
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
sunsineq的专栏
06-25 3079
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
会话cookie缺少HttpOnly属性
热门推荐
itmyhome的专栏
09-14 1万+
项目经第三方机构进行安全扫描漏洞出现“会话cookie缺少HttpOnly属性”问题 安全风险 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 Web 应用程序设置缺少 HttpOnly 属性会话 cookie 技术描述 在应用程序测试过程,检测到所测试的 Web 应用程序设置了不含“
检验-会话cookie缺少HttpOnly属性
RayChiu757374816的博客
12-11 3237
第一次遇到这样的问题,就想来记录下这个。 详细问题描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。    2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft
cookiesecure属性详解
09-03
4. **限制跨协议传递**:在上面的实践例子,我们看到了当`secure`属性设为`false`时,Cookie可以在HTTP和HTTPS协议之间自由传递。这虽然方便了跨协议的Cookie使用,但也增加了数据被窃取的风险。因此,一般建议...
Session CookieHttpOnlysecure属性
10-29
首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
session配置secure和httpOnly
03-16
在Web开发,Session和Cookie是两种常见的会话管理机制。Cookie主要负责在客户端和服务器之间传递信息,而Session则是服务器端存储用户状态的一种手段。本文重点讨论的是Cookie的两个重要属性:`secure`和`...
练习2:使用Cookie简化用户登录.zip
08-27
在Web开发,用户登录...这个练习文件“练习2:使用Cookie简化用户登录”很可能是提供了一个示例项目,用于演示如何在Web应用实现这个功能。通过学习和实践,你可以更好地理解和掌握Cookie在用户登录管理的作用。
JavaScript学习教程之cookie与webstorage
10-16
JavaScriptCookie和Web Storage是两种常见的数据存储机制,它们用于在客户端和服务器之间持久化数据,以解决HTTP无状态协议的问题。本文将详细介绍这两种技术及其使用。 首先,Cookie是最早被广泛使用的客户端...
cookie:测试Cookie
04-03
- **安全性和隐私**:测试Cookie是否遵循`Path`、`Domain`、`Secure`和`HttpOnly`设定,确保数据安全。 在"cookie-main"这个文件名,可能是对Cookie相关的代码、测试脚本或日志的打包。开发者通常会用这样的命名...
cookie:ES6 cookie 模块
06-14
在IT行业,尤其是在Web开发领域,Cookie是一种非常重要的技术,用于在客户端和服务器之间存储和传递数据。本文将深入探讨JavaScriptCookie管理,特别是通过"cookie:ES6 cookie 模块"来操作Cookie。 首先,...
JAVA HTTPS会话的敏感Cookie没有设置安全属性 解决方案
03-09
对于这个问题,可以通过在代码设置CookieSecure属性为true来解决。这样可以确保敏感Cookie只能在HTTPS连接传输,从而提高安全性。同时,还可以通过设置HttpOnly属性来防止跨站脚本攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值