java过滤器给Cookie加上HttpOnly属性

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量3.5k 收藏 5
点赞数 2
分类专栏: 漏洞 javaWeb

web.xml配置过滤器:

	<!-- 向所有会话cookie中添加“HttpOnly”属性 -->
	<filter>
		<filter-name>HttpOnlyFilter</filter-name>
		<filter-class>com.cssweb.common.admin.filter.HttpOnlyFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>HttpOnlyFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

新建过滤器

package com.cssweb.common.admin.filter;

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class HttpOnlyFilter implements Filter {

	public void destroy() {
		
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain filterChain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
		Cookie[] cookies = ((HttpServletRequest) request).getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				if (cookie != null) {
					String value = cookie.getValue();
					StringBuilder builder = new StringBuilder();
					// set-cookie后,在ie浏览器下session失效,所以,不要这行代码了
					// builder.append("JSESSIONID=" + value + "; ");
					builder.append("Secure; ");
					builder.append("HttpOnly; ");
					Calendar cal = Calendar.getInstance();
					cal.add(Calendar.HOUR, 1);
					Date date = cal.getTime();
					Locale locale = Locale.CHINA;
					SimpleDateFormat sdf = new SimpleDateFormat(
							"dd-MM-yyyy HH:mm:ss", locale);
					builder.append("Expires=" + sdf.format(date));
					resp.setHeader("Set-Cookie", builder.toString());
				}
			}
		}
		filterChain.doFilter(req, resp);
	}
    
	public void init(FilterConfig arg0) throws ServletException {
		
	}

}

如何查看?
打开网页,f12,刷新网页,如图:
在这里插入图片描述

wangsaisoon
关注
专栏目录
java httponly设置_cookie 设置 httpOnly属性
weixin_39966020的博客
02-12 988
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax....
Java使用Filter给cookie添加HTTPOnly属性
attacht的博客
11-18 1559
web.xml配置过滤器 <filter> <filter-name>HttpOnlyFilter</filter-name> <filterclass>com.attacht.web..filter.HttpOnlyFilter</filter-class> </filter> <filter-mapping> <filter-name>HttpOnlyFilter</filter-nam
【前端安全】cookie中如果给某个字段设置了HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 634
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
JAVA设置HttpOnly Cookies
weixin_30904593的博客
12-18 316
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。 但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
cookie设置httpOnly和secure属性实现及问题
01-03
Java Web应用中,可以通过编写自定义过滤器来实现`httpOnly`和`secure`属性的设置。下面是一个简单的示例: ```java public class CookieSecureFilter implements Filter { @Override public void doFilter...
【系统安全】cookie未设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
会话cookie中缺少HttpOnly属性漏洞--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
struts2用cookie实现自动登录中用过滤器执行读取上下文方法
08-11
这个过程涉及到几个关键步骤,包括登录处理、Cookie的创建与设置、过滤器的配置以及在请求处理之前读取Cookie中的信息来恢复上下文。 首先,当用户成功登录后,服务器端会创建一个包含用户身份信息的Cookie。这个...
Java 开发 | 安全篇 设置CookieHttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookieHttpOnly属性问题 CookieHttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问CookieHttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
javax.servlet.http.Cookie.setHttpOnly(Z)V
Be a Man Keep fighting for destination
11-03 1378
今天使用JFinal的生成验证码功能renderCaptcha 功能的时候出现这个错误: java.lang.NoSuchMethodError: javax.servlet.http.Cookie.setHttpOnly(Z)V ,我使用的是tomcat6.0.43, 可能是验证码涉及到cookie,而新版cookie功能 tomcat6不支持,升级成tomcat7,j就没问题了
java获取httponly_获取 httponlycookie
weixin_42245967的博客
02-28 1072
/// /// WinInet.dll wrapper/// internal static class CookieReader{/// /// Enables the retrieval of cookies that are marked as "HTTPOnly"./// Do not use this flag if you expose a scriptable interface,/...
Java EE 6.0 的 Cookie 类已经有设置 HttpOnly 的方法
小耗子的博客
09-22 509
一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时 候),应用程序也一般不会在js里操作这些敏感Coo
java cookie secure,在Java Web应用程序中为设置cookie添加httponly和secure标志
weixin_29204205的博客
02-16 817
I want to add the httponly and secure flags for Cookies. To implement it, I am using Filters which are configured in web.xml.The code for adding flags is as below:package com.crisil.dbconn;import jav...
Cookie设置HttpOnly属性
06-07
Java Web应用程序中,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值