java过滤器给Cookie加上HttpOnly属性

最新推荐文章于 2024-06-16 19:30:08 发布
最新推荐文章于 2024-06-16 19:30:08 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 电脑相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anlixi/article/details/83181072
版权

java过滤器给Cookie加上HttpOnly属性

网上撸下来的代码登录不了…

公司安全扫描出的漏洞之一,看到的第一步就是各种百度,但是简单复制粘贴过来的代码连登录都登录不上了… 尴尬;然后发现貌似cookie的Name和value没有对应上,需要改一点点…
而且原代码的doFilter(request, response)在cookies!=null里边的,导致wsdl接口全部调不通…

直接贴代码片


    /**
     * 执行过滤,设定cookie为HttpOnly
     */
    public void doFilter(ServletRequest request, ServletResponse response,
       FilterChain filterChain) throws IOException, ServletException {
       // TODO Auto-generated method stub
       //转为HttpServletResponse来addHeader
       HttpServletRequest req = (HttpServletRequest) request; 
       HttpServletResponse resp = (HttpServletResponse) response;
       Cookie[] cookies = req.getCookies();
       if(cookies!=null){
           for(Cookie cookie : cookies){
               StringBuilder builder = new StringBuilder(); 
               /*将cookie拼凑起来,网上那一步不能登录,是name写死了...*/
               builder.append(cookie.getName() +"=" + cookie.getValue() + "; "); 
               builder.append("Secure; "); 
               builder.append("HttpOnly; "); 
               Calendar cal = Calendar.getInstance(); 
               cal.add(Calendar.HOUR, 1); 
               Date date = cal.getTime(); 
               Locale locale = Locale.CHINA; 
               SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale); 
               builder.append("Expires=" + sdf.format(date)); 
               //System.out.println("Set-Cookie="+builder.toString());
               resp.addHeader("Set-Cookie", builder.toString());
           }
      }
      //这个要写在外面,不然没有cookies的请求会传不过去
      filterChain.doFilter(request, response);
    }

希望安全扫描改的东西能全部通过啊…
小白无力…

后续

这个过滤器真是坑啊,在老ie6下面登录不上… 后台会set-cookie,过滤器也会set-cookie一次,2个值还不一样… 结果就是GG了… 不知道为什么360的兼容模式和其他浏览器还是可以的…
暂时先加了个header提高兼容性。
resp.setHeader(“P3P”,“CP=CAO PSA OUR”);
把"JSESSIONID".equals(cookie.getName())的剔出来单独处理。

淡梦如烟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java使用Filter给cookie添加HTTPOnly属性
attacht的博客
11-18 1548
web.xml配置过滤器 <filter> <filter-name>HttpOnlyFilter</filter-name> <filterclass>com.attacht.web..filter.HttpOnlyFilter</filter-class> </filter> <filter-mapping> <filter-name>HttpOnlyFilter</filter-nam
【系统安全】cookie未设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
JavaCookie的用法
最新发布
weixin_70757494的博客
06-16 475
但是,HTTPOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;该方法也可用于Web站点的身份鉴别,即在HTTPS的连接建立阶段,浏览器会检查Web网站的。无效时,浏览器并不会立即终止用户的连接请求,而是显示安全风险信息,用户仍可以选择继续访问该站点。持久性Cookie会保存在用户的硬盘中,直至生存期到或用户直接在网页中单击“注销”等按钮结束会话时才会失效。如果没有显式设置这个属性,那么默认的domain是创建cookie的页面的域名。设置Cookie的生存期。
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
cookie 设置 httpOnly属性
weixin_33859504的博客
03-01 168
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException; importjavax.servlet.Filter; importjavax.servlet.FilterChain; importjavax.servlet.FilterConfig...
Cookie上直接设置HttpOnly属性
jinming1109的博客
05-11 1万+
1.需要在web.xml中配置过滤器 &lt;!-- cookie添加HttpOnly属性 --&gt;    &lt;filter&gt;        &lt;filter-name&gt;CookieFilter&lt;/filter-name&gt;        &lt;filter-class&gt;文件目录.CookieFilter&lt;/filter-class&gt;    &...
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
struts2用cookie实现自动登录中用过滤器执行读取上下文方法
08-11
这个过程涉及到几个关键步骤,包括登录处理、Cookie的创建与设置、过滤器的配置以及在请求处理之前读取Cookie中的信息来恢复上下文。 首先,当用户成功登录后,服务器端会创建一个包含用户身份信息的Cookie。这个...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 2959
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性HttpOnly;
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
java:操作cookie
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
09-05 2326
java操作cookie
HttpOnly Cookie 标志
allway2的博客
08-02 1136
只要您不运行javascript来收集网站流量数据或分析,那么您就可以使用HttpOnly为您的网站提供额外的保护层。HttpOnly标志似乎是保护网站上所有cookie信息的可靠方法,那么为什么不简单地将每个cookie标记为HttpOnly呢?与看起来不错的想法相反,有一些得注意的例外情况是你不应该依赖这个HTTPcookie标志的保护——它们都与javascript有关。cookie标志通常添加到可能包含有关用户的敏感信息的cookie中。...
JavaScript--cookie封装及相关属性、http协议讲解、json格式数据
look857857的博客
03-30 910
JavaScript--cookie封装及相关属性、http协议讲解、json格式数据
增加 cookie 安全性添加HttpOnly和secure属性
轻描淡写
10-12 5047
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
JAVA设置HttpOnly Cookies
y41992910的博客
02-22 5019
核心: 1.获取cookie Cookie[] cookies = request.getCookies(); 2.判断cookie是存储用户信息的,设置HttpOnly for (Cookie cookie2 : cookies) { System.out.println(cookie2.getName()); System.out.println(cookie2); if (cookie2.g...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
Cookie设置HttpOnly属性
06-07
在服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序中,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述代码中,`setHttpOnly(true)` 方法可以设置CookieHttpOnly属性为true。当浏览器接收到这个Cookie时,会将HttpOnly属性设置为true,从而防止通过JavaScript读取Cookie信息。 需要注意的是,HttpOnly属性只能防止通过JavaScript读取Cookie信息,但是无法防止其他方式的攻击,比如通过网络嗅探等方式,因此还需要采取其他安全措施来保护Web应用程序的安全。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值