cookie Secure httpOnly等属性

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量362 收藏
点赞数
文章标签: java  cookie httpOnly

会话cookie和持久cookie区别

      如果不设置过期时间,则表示这个cookie声明周期为浏览器会话期间,只要关闭浏览器,cookie就会消失,这种声明周期为浏览器期间的为会话cookie,会话cookie一般保存在内存中。if设置了期限,浏览器会把cookie保存到硬盘中,关闭之后再次打开浏览器,这些cookie依旧有效,知道超过设定期限,存储在硬盘上的cookie可以在不同浏览器进程之间共享,eg:两个IE窗口。而对于保存在内存中的cookie,不同浏览器有不同处理方式。

以下转发https://blog.csdn.net/weixin_34356138/article/details/89654083

在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全,避免一定程度的跨站攻击。防止脚本攻击,禁止了通过脚本获取cookie信息,浏览器不会将其发送给任何第三方

利用拦截器实现,判断每次请求的响应是否包含SET-COOKIE头部,重写会话Cookie,添加需要的属性。虽较为生硬,但灵活性强。
新的规范API
新的规范添加SessionCookieConfig接口,用于操作会话Cookie,需要掌握以下主要方法:

 

  1. setName(String name)

  2. 修改Session ID的名称,默认为"JSESSIONID"

  3. setDomain(String domain)

  4. 设置当前Cookie所处于的域

  5. setPath(String path)

  6. 设置当前Cookie所处于的相对路径

  7. setHttpOnly(boolean httpOnly)

  8. 设置是否支持HttpOnly属性

  9. setSecure(boolean secure)

  10. 若使用HTTPS安全连接,则需要设置其属性为true

  11. setMaxAge(int maxAge)

  12. 设置存活时间,单位为秒

如何使用呢,很方便,在ServletContextListener监听器初始化方法中进行设定即可;下面实例演示如何修改"JSESSIONID",以及添加支持HttpOnly支持:

 

  1. 全局设置Session-Cookie相交互部分属性

  2. @WebListener

  3. public class SessionCookieInitialization implements ServletContextListener {

  4. private static final Log log = LogFactory

  5. .getLog(SessionCookieInitialization.class);

  6.  

  7. public void contextInitialized(ServletContextEvent sce) {

  8. log.info("now init the Session Cookie");

  9.  

  10. ServletContext servletContext = sce.getServletContext();

  11.  

  12. SessionCookieConfig sessionCookie = servletContext

  13. .getSessionCookieConfig();

  14. sessionCookie.setName("YONGBOYID");

  15. sessionCookie.setPath(servletContext.getContextPath());

  16. sessionCookie.setHttpOnly(true);

  17. sessionCookie.setSecure(false);

  18.  

  19. log.info("name : " + sessionCookie.getName() + "\n" + "domain:"

  20. + sessionCookie.getDomain() + "\npath:"

  21. + sessionCookie.getPath() + "\nage:"

  22. + sessionCookie.getMaxAge());

  23.  

  24. log.info("isHttpOnly : " + sessionCookie.isHttpOnly());

  25. log.info("isSecure : " + sessionCookie.isSecure());

  26. }

  27.  

  28. public void contextDestroyed(ServletContextEvent sce) {

  29. log.info("the context is destroyed !");

  30. }

  31. }

需要通过ServletContext对象获得SessionCookieConfig对象,才能够进一步自定义session cookie的属性。
无论以前的硬编码还是新的API实现,目标都是一致的,所产生头部信息也是完全一致。
毫无疑问,后者更为方便快捷,省缺了显示的操作响应元数据。
对当前站点的第一次请求,很容易从响应头信息中看到Set-Cookie的属性值:

不同浏览器平台上测试
在Safari、IE8、Opera 11 一切都很正常
Firefox 3.6、Chrome 9.0,JSESSIONID会继续存在:

    YONGBOYID=601A6C82D535343163B175A4FD5376EA; JSESSIONID=AA78738AB1EAD1F9C649F705EC64D92D; AJSTAT_ok_times=6; JSESSIONID=abcpxyJmIpBVz6WHVo_1s; BAYEUX_BROWSER=439-1vyje1gmqt8y8giva7pqsu1

在所有浏览器中,SESSION ID等于新设置的YONGBOYID值(若不相等,问题就严重了!)
在客户端JS无法获得正确的SESSIONI ID了。

Tomcat服务器内置支持
可以不用如上显示设置Cookie domain、name、HttpOnly支持,在conf/context.xml文件中配置即可:

 

  1. <Context useHttpOnly="true", sessionCookieName="YONGBOYID", sessionCookieDomain="/servlet3" … >

  2. ...

  3. </Context>

既然JAVA应用服务器本身支持会话Cookie设定,那就没有必要在程序代码中再次进行编码了。这是一个好的实践:不要重复造轮子。
这里给出一段测试Session重写的一段脚本:

 

  1. <div style="margin: 40px; paddding: 10px">

  2. <div><a href="sessionCookieTest">正常连接</a></div>

  3. <div><a href="<%=response.encodeURL("sessionCookieTest") %>">重定向连接</a></div>

  4. </div>

  5.  

会被重写的URL地址类似于:

http://localhost/servlet3/sessionCookieTest;YONGBOYID=19B94935D50245270060E49C9E69F5B6

嗯,在取消会话Cookie之后,可以直接看到修改后的SESSION ID名称了,当然这时候HttpOnly属性也没有多大意义了。
有一点别忘记,设置HttpOnly之后,客户端的JS将无法获取的到会话ID了

cf-ing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3097
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
【系统安全】cookie设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 9970
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性
最新发布
所学所思
06-11 1056
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 2845
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性HttpOnly;
Cookie设置HttpOnly
while(life)++;
04-02 3304
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
Java 设置 httponly cookie
allway2的博客
08-02 5324
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
cookie httponly ajax,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_33921444的博客
08-05 583
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
Session CookieHttpOnlysecure属性
10-29
首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
backerli的博客
09-25 5143
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie设置Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
PHP设置CookieHTTPONLY属性方法
12-18
设置CookieHTTPOnly属性时,浏览器将禁止JavaScript等客户端脚本访问该Cookie,仅允许HTTP协议在服务器与客户端之间传输。 **一、HTTPOnly的作用** 1. **防止XSS攻击**:跨站脚本攻击(Cross-Site Scripting, ...
JAVA设置HttpOnly Cookies
weixin_30904593的博客
12-18 310
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。 但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性...
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7604
为关键cookie设置httpOnly属性 首先,设置HttpOnly属性cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
java httponly设置_cookie 设置 httpOnly属性
weixin_39966020的博客
02-12 972
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax....
java设置httponly,如何为java Web应用程序设置httponly和会话cookie
weixin_42662293的博客
02-12 608
Hi I am working on XSS(cross site scripting) issue. my application develop on oracle weblogic portal. we use Servlet 2.5 version.I have added below 3 lines of code in the filter for setting httponly...
java设置httponly_Tomcat为Cookie设置HttpOnly属性
weixin_29230649的博客
02-26 1029
B:服务端可以自定义建立Cookie对象及属性传递到客户端;服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);方法:为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在to...
详解Cookiehttponly设置与安全性
理解并正确配置cookiehttponly属性对于维护Web应用的安全至关重要。在实际开发中,开发者应遵循最小权限原则,合理设置cookie,确保用户的隐私信息不会被恶意利用,同时也确保网站功能的正常运行。学习和掌握这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值