Tomcat为Cookie设置HttpOnly属性

最新推荐文章于 2024-05-12 11:44:08 发布
最新推荐文章于 2024-05-12 11:44:08 发布
阅读量2.7w 收藏 7
点赞数
分类专栏: tomcat Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fall10/article/details/51969889
版权
Java 同时被 2 个专栏收录
20 篇文章 0 订阅
订阅专栏
tomcat
5 篇文章 0 订阅
订阅专栏

A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的;

B:服务端可以自定义建立Cookie对象及属性传递到客户端;

服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);


方法:

为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在tomcat6的conf/context.xml配置文件中配置:

<Context useHttpOnly="true">

为自定义Cookie及属性添加HttpOnly属性,在Set-Cookie头部信息设置时可以添加“HttpOnly”


验证:

1,抓包验证任意http响应的内容,确实任意客户端请求的回应包含Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

GET /monitor/ HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)

Accept-Encoding: gzip, deflate

Host: 192.168.245.1

Connection: Keep-Alive



HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

Set-Cookie: lang=zh; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 2518

Date: Wed, 20 Jul 2016 08:14:42 GMT

2,在浏览器端调试js脚本,确实使用document.cookie读取在服务端设置的Cookie对象时,读取内容为空:

document.cookie    ""


merrick326
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
设置Tomcat sessionid的HTTP-only属性
weixin_33966095的博客
10-08 516
2019独角兽企业重金招聘Python工程师标准>>> ...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
Django检测到会话cookie中缺少HttpOnly属性手工复现
最新发布
2401_84972930的博客
05-12 256
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
tomcat设置httpOnly
weixin_33766168的博客
02-26 1548
经常看到一些人说tomcat6不支持httponly,查阅官方帮助文档后发现是可以支持的,tomcat6的context.xml配置说明 为什么需要httponly sessionid一般是以cookie的形式储存和传送的,除非禁用cookiecookie是可以通过javascript进行读取,所以需禁用sessioid通过javascript进行读取,这时候就可以通过设置Cookie的htt...
tomcat配置httponly属性
Jacy2005的博客
08-14 2773
IBM AppScan 安全扫描:提示Cookie 中缺少 Secure 属性 处理办法在tomcat/conf/ 下找到context.xml修改&lt;Context useHttpOnly="true"&gt;,以下为Apache官网描述 refer :http://tomcat.apache.org/tomcat-6.0-doc/config/context.html  此问题的原...
Tomcat设置Cookie的HttpOly属性
xiaohuochaiwh的博客
03-15 1273
为了减少XSS跨站脚本攻击,防止读取修改cookie的内容,可以在tomcat中为cookie设置HttpOnly属性。 修改文件:tomcat/conf/context.xml 在&lt;Context&gt;标签中增加属性 useHttpOnly="true" 修改前: 修改后: ...
web server tomcat 7设置 cookie httpOnly
征客
07-29 2341
在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml <Context useHttpOnly="true"></context> 2、修改tomcat/conf/web.xml <session-config> <cookie-config> <......
tomcat 8源码看session cookie maxage的配置
https://github.com/halloffamezwx
07-28 910
最近有兴趣看了tomcat 8源码对session cookie的处理,才发现web.xml支持对session cookie配置maxage,如果不配置默认就是-1,-1表示这个cookie在当前浏览器窗口有效,存放在内存中而不是硬盘,关掉当前浏览器窗口的话,这个cookie失效,会话结束;如果设置了maxage(不等于-1),则存放到硬盘。   部分源码: org/apache/ca...
PHP设置CookieHTTPONLY属性方法
10-20
当一个Cookie设置HTTPOnly时,JavaScript的Document.cookie API和其他通过JavaScript可以访问Cookie的方法将无法读取或修改这个Cookie。这在一定程度上降低了通过跨站脚本攻击(XSS)窃取用户Cookie的风险。 PHP...
Session CookieHttpOnly和secure属性
10-29
如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
httpwebreqeust读取httponlycookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
Tomcat 修改Cookies安全性
Hern(宋兆恒)
04-20 5782
修改方法 1、进入Tomcat的conf文件夹,打开context.xml文件 2、 将其中的<Context>标签属性更改为<Context useHttpOnly="true">: Cookie常用属性 Cookie名称,Cookie名称必须使用只能用在URL中的字符,一般用字母及数字,不能包含特殊字符,如有特殊字符想要转码。如js操作cookie的时候...
WEB安全漏洞之Cookie中缺少相关安全属性HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie中缺少HttpOnly属性;2.Cookie中缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
tomcat server.xml文件cookie设置常见
weisian的博客
08-09 1460
问题描述:同一台服务器下面,部署了两个tomcat服务,或者代理后两个相同域名端口不通的服务。第一个服务登陆后设置cookie,如果是用同一个浏览器打开,则第二个服务登录重新设置cookie,在回到第一个服务随便点击发现重定向到了登录页。 原因: 我们一般设置的接口的权限,通过前端设置cookie,对应上后端的session,校验是否已经登录从而实现接口监听的放行。在同一个域名下,如果tomcat是默认设置,会在前端生成相同cookie名称为JSESSIONID的内容,如果同一个域名下的第二个服务也在当
Java 项目 Tomcat8.x去除默认设置httpOnly
yuzfengxu的博客
02-21 1万+
1.查看tomcat conf/context.xml文件并修改:&lt;Context useHttpOnly="false"&gt;2.修改项目web.xml&lt;session-config&gt; &lt;session-timeout&gt;20&lt;/session-timeout&gt; &lt;cookie-config&gt; &lt;http-only&gt;fals
如何利用response.addHeader()方法设置cookie
热门推荐
shandalue的专栏
07-02 2万+
cookie设置HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1581
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
Cookie设置HttpOnly属性
06-07
在服务器端设置CookieHttpOnly属性可以有效地增强Web应用程序的安全性。HttpOnly属性可以防止通过JavaScript读取Cookie信息,从而有效地防止跨站点脚本攻击(XSS攻击)。在Java Web应用程序中,可以通过如下方式设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("cookie_name", "cookie_value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上述代码中,`setHttpOnly(true)` 方法可以设置CookieHttpOnly属性为true。当浏览器接收到这个Cookie时,会将HttpOnly属性设置为true,从而防止通过JavaScript读取Cookie信息。 需要注意的是,HttpOnly属性只能防止通过JavaScript读取Cookie信息,但是无法防止其他方式的攻击,比如通过网络嗅探等方式,因此还需要采取其他安全措施来保护Web应用程序的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值