Java EE 6.0 的 Cookie 类已经有设置 HttpOnly 的方法

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量497 收藏
点赞数
分类专栏: 个人随笔

一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时 候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

如果你正在使用的是兼容 Java EE 6.0 的容器,如 Tomcat 7,那么 Cookie 类已经有了 setHttpOnly 的方法来使用 HttpOnly 的 Cookie 属性了。

?
1
cookie.setHttpOnly( true );

设置完后生成的 Cookie 就会在最后多了一个 ;HttpOnly

另外使用 Session 的话 jsessionid 这个 Cookie 可通过在 Context 中使用 useHttpOnly 配置来启用 HttpOnly,例如:

?
1
2
< Context path = "" docBase = "D:/WORKDIR/oschina/webapp"
     reloadable = "false" useHttpOnly = "true" />

也可以在 web.xml 配置如下:

?
1
2
3
4
5
< session-config >
  < cookie-config >
   < http-only >true</ http-only >
  </ cookie-config >
< session-config >
对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly 
?
1
< httpCookies httpOnlyCookies = "true" …>

而程序的处理方式如下:

C#:

?
1
2
3
HttpCookie myCookie = new HttpCookie( "myCookie" );
myCookie.HttpOnly = true ;
Response.AppendCookie(myCookie);

VB.NET:

?
1
2
3
Dim myCookie As HttpCookie = new HttpCookie( "myCookie" )
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

.NET 1.1 只能手工处理:

?
1
Response.Cookies[cookie].Path += ";HttpOnly" ;

PHP 从 5.2.0 版本开始就支持 HttpOnly

?
1
session.cookie_httponly = True
czh729188659
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie设置HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Java 设置 httponly cookie
allway2的博客
08-02 5268
JavaHttpCookie的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
Java代码漏洞检测-常见漏洞与修复建议
baimao__Ch的博客
05-17 1209
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
java设置httponly_JAVA设置HttpOnly Cookies
weixin_42315616的博客
02-12 1283
HttpOnly Cookies是一个cookie安全行的解决方案。在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如...
java开发中替换cookie越权,在JSESSIONID cookie设置httponlyJava EE 5)
weixin_35225144的博客
02-26 1302
I'm trying to set the httponly flag on the JSESSIONID cookie. I'm working in Java EE 5, however, and can't use setHttpOnly(). First I tried to create my own JSESSIONID cookie from within the servlet...
Java 开发 | 安全篇 设置CookieHttpOnly属性
热门推荐
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookieHttpOnly属性问题 CookieHttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问CookieHttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击似sql注入,更多资料可以百度查阅)。在web
JAVA设置HttpOnly Cookies
u012045045的博客
10-12 4085
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。   但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性...
JAVA 什么要设置HttpOnly
学渣的博客
08-21 1722
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。 但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpO...
java中的hwid验证,JAVA设置HttpOnly Cookies
weixin_42099755的博客
03-10 645
HttpOnly Cookies是一个cookie安全行的解决方案。在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如...
WEB跨站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 7916
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
有关cookiehttponly属性相关
ccyyss的专栏
09-11 1364
先记录下相关网上的链接,有时间自己再总结一份自己的理解   http://en.wikipedia.org/wiki/HTTP_cookie   http://www.cnblogs.com/downmoon/archive/2008/09/11/1289298.html   http://msdn.microsoft.com/zh-cn/library/sys
httpwebreqeust读取httponlycookie方法
08-31
但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,例如在使用`HttpWebRequest`进行网络请求时。本文将详细介绍如何在C#中使用`HttpWebRequest`读取`HttpOnly`的Cookie。 首先,`HttpWebRequest`对象...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值