Cookie设置HttpOnly

最新推荐文章于 2024-10-19 08:00:00 发布
最新推荐文章于 2024-10-19 08:00:00 发布
阅读量3.3k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3562323/article/details/105265862
版权

公司处理安全缺陷,解决跨站脚本攻击,
防止跨站脚本漏洞进行Cookie劫持攻击

Filter类

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;
 
	    Cookie[] cookies = req.getCookies();
 
	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	Calendar cal = Calendar.getInstance();
	            	cal.add(Calendar.HOUR, 1);
	            	Date date = cal.getTime();
	            	Locale locale = Locale.CHINA;
	            	SimpleDateFormat sdf = 
	            			new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
	            	builder.append("Expires=" + sdf.format(date));
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}
 
	public void destroy() {
	}
 
	public void init(FilterConfig arg0) throws ServletException {
	}
}

web.xml加入filter过滤器

    <!-- 设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击 -->
    <filter>
    	<filter-name>cookieFilter</filter-name>
    	//该类所在位置
    	<filter-class>com.ddtech.myFilter.CookieFilter</filter-class>
    </filter>
    <filter-mapping>
    	<filter-name>cookieFilter</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>

查看是否设置HttpOnly

已经有了
在这里插入图片描述

WuWuII
关注
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3279
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户的攻击方式,所
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
HttpOnly 属性:你了解它在保护 Cookie 方面的作用吗?
最新发布
你若盛开,清风自来
10-19 552
HttpOnly属性是为了增强 Cookie 安全性而设计的,防止恶意脚本通过 JavaScript 访问 Cookie 内容,从而保护用户的敏感信息。将HttpOnly应用于存储用户身份验证信息的 Cookie 是安全开发中的重要一环,能够降低网站受到 XSS 攻击的风险。
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 4679
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
JAVA设置HttpOnly Cookies
chicha9774的博客
05-05 132
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网...
cookie设置httponly属性
07-27
在Web开发中,可以通过设置CookieHttpOnly属性来增强其安全性。HttpOnly是一种安全标志,用于限制Cookie的访问权限。当设置HttpOnly属性后,浏览器将禁止通过JavaScript访问和修改Cookie,从而有效地防止一些...
cookie设置HttpOnly标志
05-10
设置Cookie时,可以通过在Set-Cookie头中添加HttpOnly标志来启用它,例如: ``` Set-Cookie: mycookie=value; HttpOnly ``` 这样设置后,客户无法通过JavaScript脚本来访问该Cookie。但是,需要注意的是,...
unbuntu 中怎么将cookie设置HttpOnly
06-12
设置HttpOnly cookie,可以在Ubuntu中使用以下步骤: 1. 打开终并登录到root用户。 2. 打开/etc/php/7.0/apache2/php.ini文件。 3. 找到session.cookie_httponly并将其设置为True。 4. 保存并关闭文件,然后...
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3872
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
Java 设置 httponly cookie
allway2的博客
08-02 5529
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
javacookie HTTPOnly
lizhangxiong1234的专栏
07-15 3424
Java web程勋中cookie 不能写入HTTPOlny属性。因为到现在为止还没有这样的接口,所以我们只能用变通的方法response.setHeader("Set-Cookie",  "__wsidd=hhghgh;Path=/;Domain=wap.domain.cn;M
cookiehttponly设置(可简单仿XSS攻击)
weixin_33908217的博客
11-08 1318
cookiehttponly设置(可简单仿XSS攻击) httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。为了缓解XSS(跨站点脚本攻击)带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定,不许通过客户脚本访问cookie。使用HTTP-on...
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
cookie设置HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
Java 开发 | 安全篇 设置CookieHttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookieHttpOnly属性问题 CookieHttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问CookieHttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值