超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案

已于 2022-08-19 17:19:19 修改
阅读量8.8k 收藏 33
点赞数 10
分类专栏: JAVA EE 文章标签: cookie httponly cookie samesite
于 2022-08-19 16:50:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhklsl/article/details/126425087
版权

        我们项目上线前都经过漏洞扫描,并针对漏扫报告修改存在的漏洞,每次扫描都有2个关于cookie方面的漏扫(漏洞级别属于低),漏洞名字分别是:Cookie No HttpOnly Flag 和 Cookie Without SameSite Attribute。每次上线前漏扫,测试同事都催着让改(由于属于低级别漏洞,都一直拖着),我看以前同事改过几次,但是都没起作用,漏洞还存在。所以就研究一下,自己做下总结。

关于这2个漏洞简单介绍

        Cookie No HttpOnly Flag:没有安全标签的cookie,需要把httponly属性设置为true;这样就可以防止跨站脚本攻击XSS(Cross Site script)。

        Cookie Without SameSite Attribute: 意思cookie的samesite属性设置了none,当samesite=none时,有可能存在跨站请求伪造CSRF(cross site request forgery)攻击的风险。samesite属性有三个值:Strict/Lax/None。具体意思大家自行百度吧。我们这里把samesite设置成Lax就可以了。

错误的解决方案

        我也在网上查了很多资料,都是写个过滤器filter,然后在response里设置下,大概代码如下:

response.setHeader("SameSite","Lax");
response.setHeader("Set-Cookie","HttpOnly");

其实我们就是这么改的,但是不生效,这2个漏洞还存在。在浏览器F12下看相关信息截图如下:

        在响应头里确实有了这个2个属性,由于前期对cookie的这2个属性不了解,以为这样就可以了,但是这是无法解决这2个漏洞的。

错误解决方案的代码如下

package com.lsl.mylsl.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CookieFilter implements Filter {


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        //这里模拟下浏览器发送请求中包含三个cookie,
        // 因为后端在request中无法添加cookie,咱们就先添加到response中,
        //第一次请求把三个cookie带到客户端,再请求时浏览器就把这三个cookie带过来了
        Cookie cookie1 = new Cookie("name","lsl");
        httpResponse.addCookie(cookie1);
        Cookie cookie2 = new Cookie("age","18");
        httpResponse.addCookie(cookie2);
        Cookie cookie3 = new Cookie("addr","beijing");
        httpResponse.addCookie(cookie3);


        httpResponse.setHeader("SameSite","Lax");
        httpResponse.setHeader("Set-Cookie","HttpOnly");
        filterChain.doFilter(httpRequest,httpResponse);
    }
}

如果解决了这2个漏洞,正确的截图如下

图1:

图2:下图红色框上面的也有三个set-cookie属性,分别有三个cookie,但是后面没有httponly和samesite属性。原因我在代码里模拟了客户端发送请求里放了三个cookie。这是第一次请求时添加的heeader属性,红色框里是第二次请求request才把三个cookie带过来,所以才有这2个属性。大家可以看后面附的正确解决方案的代码

图3:

正确方案的代码如下:

package com.lsl.mylsl.filter;

import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CookieFilter implements Filter {


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        //这里模拟下浏览器发送请求中包含三个cookie,
        // 因为后端在request中无法添加cookie,咱们就先添加到response中,
        //第一次请求把三个cookie带到客户端,再请求时浏览器就把这三个cookie带过来了
        Cookie cookie1 = new Cookie("name","lsl");
        httpResponse.addCookie(cookie1);
        Cookie cookie2 = new Cookie("age","18");
        httpResponse.addCookie(cookie2);
        Cookie cookie3 = new Cookie("addr","beijing");
        httpResponse.addCookie(cookie3);

        String url = httpRequest.getRequestURL().toString();

        Cookie[] cookies = httpRequest.getCookies();
        if (cookies != null){
            StringBuilder sb = new StringBuilder();
            for (Cookie cookie : cookies){
                String cookieName = cookie.getName();
                String cookieValue = cookie.getValue();
                System.out.println("url = " + url + ", cookieName = " + cookieName + ", cookieValue = " + cookieValue);
                ResponseCookie lastCookie = ResponseCookie.from(cookieName, cookieValue).httpOnly(true).sameSite("Lax").build();
                httpResponse.addHeader(HttpHeaders.SET_COOKIE,lastCookie.toString());

            }
        }

        filterChain.doFilter(httpRequest,httpResponse);
    }
}

        发现没有,我正确的解决方案里除了遍历了cookie,添加属性时用的是response.addHeader("Set-cookie",String)方法,而错误的解决方案中用的是response.setHeader("Set-Cookie",String)方法。

        httponly和samesite属性是属于cookie的,所以必须遍历所有cookie,并设置这些相关属性,当然cookie还有其他好多属性(domain,path,maxAge等)。错误方案里只是给响应头添加了属性,所以没法解决这2个漏洞问题。对应请求中有多个cookie,必须用addHeader方法,如果只有一个cookie可以使用setHeader方法。

response.addHeader()和response.setHeader的区别

这2个方法都是给response的header添加属性,但是略有区别,

response.setHeader():如果存在key就替换value

response.addHeader(): 如果key存在也不替换value,而是增加

        这里我先说下Set-Cookie属性,其实是一个cookie对应一个Set-Cookie属性,我开始以为是Set-Cookie里放所有cookie,然后后面的httponly等属性一起修饰前面的cookie。其实不是的,当然如果你一个Set-Cookie属性了前面放了多个cookie,后面的httponly; SameSite=Lax 属性只对第一个cookie生效,这个我测试过了。代码和截图如下:

        

package com.lsl.mylsl.filter;

import org.springframework.http.HttpHeaders;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CookieFilter implements Filter {


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        //这里模拟下浏览器发送请求中包含三个cookie,
        // 因为后端在request中无法添加cookie,咱们就先添加到response中,
        //第一次请求把三个cookie带到客户端,再请求时浏览器就把这三个cookie带过来了
        Cookie cookie1 = new Cookie("name","lsl");
        httpResponse.addCookie(cookie1);
        Cookie cookie2 = new Cookie("age","18");
        httpResponse.addCookie(cookie2);
        Cookie cookie3 = new Cookie("addr","beijing");
        httpResponse.addCookie(cookie3);

        String url = httpRequest.getRequestURL().toString();

        Cookie[] cookies = httpRequest.getCookies();
        if (cookies != null){
            StringBuilder sb = new StringBuilder();
            for (Cookie cookie : cookies){
                String cookieName = cookie.getName();
                String cookieValue = cookie.getValue();
                System.out.println("url = " + url + ", cookieName = " + cookieName + ", cookieValue = " + cookieValue);
//                ResponseCookie lastCookie = ResponseCookie.from(cookieName, cookieValue).httpOnly(true).sameSite("Lax").build();
                
                sb.append(cookieName).append("=").append(cookieValue).append(";");
            }
            sb.append("HttpOnly; SameSite=Lax");
            httpResponse.addHeader(HttpHeaders.SET_COOKIE,sb.toString());
        }

        filterChain.doFilter(httpRequest,httpResponse);
    }
}

        

发现只有第一个cookie的httponly和samesite生效了

        我们再说下,response.addHeader("Set-cookie",String)和response.setHeader("Set-Cookie",String)的区别。根据上面的正确代码可以看出,如果采用response.setHeader("Set-Cookie",String),只是把最后一个cookie设置的httponly和sameSite属性生效了。这个2个方法我也都测试过了。

用setHeader方法,只有最后一个cookie生效了,相关的代码和截图如下

package com.lsl.mylsl.filter;

import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CookieFilter implements Filter {


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

        //这里模拟下浏览器发送请求中包含三个cookie,
        // 因为后端在request中无法添加cookie,咱们就先添加到response中,
        //第一次请求把三个cookie带到客户端,再请求时浏览器就把这三个cookie带过来了
        Cookie cookie1 = new Cookie("name","lsl");
        httpResponse.addCookie(cookie1);
        Cookie cookie2 = new Cookie("age","18");
        httpResponse.addCookie(cookie2);
        Cookie cookie3 = new Cookie("addr","beijing");
        httpResponse.addCookie(cookie3);

        String url = httpRequest.getRequestURL().toString();

        Cookie[] cookies = httpRequest.getCookies();
        if (cookies != null){
            StringBuilder sb = new StringBuilder();
            for (Cookie cookie : cookies){
                String cookieName = cookie.getName();
                String cookieValue = cookie.getValue();
                System.out.println("url = " + url + ", cookieName = " + cookieName + ", cookieValue = " + cookieValue);
                ResponseCookie lastCookie = ResponseCookie.from(cookieName, cookieValue).httpOnly(true).sameSite("Lax").build();
                httpResponse.setHeader(HttpHeaders.SET_COOKIE,lastCookie.toString());
            }
        }

        filterChain.doFilter(httpRequest,httpResponse);
    }
}

一路奔跑1314
关注
  • 10
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
weixin_66709611的博客
03-13 679
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 2989
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
什么是 cookiehttponly 属性
SAP 资深技术专家 Jerry Wang 的技术分享
06-17 5044
在设置了 HttpOnly 属性的情况下,浏览器将禁止通过 JavaScript 访问和修改 Cookie,从而有效地防止一些常见的攻击,例如跨站脚本攻击(XSS)。在一个具有用户身份认证的 Web 应用程序中,服务器在用户成功登录后,将用户凭据存储在一个名为 “authToken” 的 Cookie 中,并设置其 HttpOnly 属性。一个在线银行应用程序在用户进行敏感操作(如转账)时,将用户的会话标识存储在一个名为 “sessionID” 的 Cookie 中,并设置其为 HttpOnly
记录:单点登录cookie携带问题解决过程
叮咚猫的博客
08-19 1705
前端:vue、nodejs、axios 后端:spring cloud、auth2 一、排查过程 1、检查网关、认证、domain 地址配置是否同域; 2、检查数据库client表配置的地址是否正确; 3、检查前端是否配置允许携带cookie; 4、注意清除缓存,浏览器、Redis; 5、浏览器跟踪检查验证cookie; //获取授权码 http://192.168.0.10:9020/oauth/authorize?client_id=farm-oms&redirect_uri
Cookie中的httponly属性和作用
热门推荐
欢迎
09-10 4万+
原文转载自:https://blog.csdn.net/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
Springboot2.6以下版本对cookie的samesite设置的通用方法
aol_aog的专栏
12-23 891
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题。
Cookie 的 SameSite 属性
日积月累的博客
11-22 5806
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决Cookie 具有缺失、不一致或矛盾属性
huan1213858的博客
12-07 4121
cookie
如何关闭A cookie associated with a cross-site resource at ... was set without the SameSite attribute.警告
weixin_44463883的博客
08-31 1291
如何关闭A cookie associated with a cross-site resource at xxx.xxx.xxx.xxx was set without the SameSite attribute.这个警告 如: A cookie associated with a cross-site resource at http://puser.qingdao.gov.cn/ was set without the SameSite attribute. It has been blocked,
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7095
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
漏洞修复:Cookie Security: Overly Permissive SameSite Attribute
CutelittleBo的博客
02-07 3676
描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). Session cookies represent a user to the site to allow user to perform authorized actions. However, the browser automatically sends the cookies and therefore
Cookie设置HttpOnly属性
06-07
在服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序中,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述代码中,`setHttpOnly(true)` 方法可以设置CookieHttpOnly属性为true。当浏览器接收到这个Cookie时,会将HttpOnly属性设置为true,从而防止通过JavaScript读取Cookie信息。 需要注意的是,HttpOnly属性只能防止通过JavaScript读取Cookie信息,但是无法防止其他方式的攻击,比如通过网络嗅探等方式,因此还需要采取其他安全措施来保护Web应用程序的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一路奔跑1314

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值