解决Cookie 具有缺失、不一致或矛盾属性

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量4.5k 收藏 1
点赞数 1
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huan1213858/article/details/128224246
版权

问题:

When cookies lack the SameSite attribute, Web browsers may apply different and sometimes unexpected defaults. It is therefore recommended to add a SameSite attribute with an appropriate value of either "Strict", "Lax", or "None".

解决:

Cookie[] cookies = hreq.getCookies();
if (cookies != null){
	StringBuilder sb = new StringBuilder();
	for (Cookie cookie : cookies){
		sb.append(cookie.getName()).append("=").append(cookie.getValue()).append(";");
		sb.append("Path="+hreq.getContextPath());
		sb.append(";HttpOnly; SameSite=Lax");
		hresp.addHeader(HttpHeaders.SET_COOKIE,sb.toString());
	}
}

注意:要使用addHeader,否则
只解决最后一个cookie在这里插入图片描述

huan1213858
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
cookie安全性问题
chenpeng0708的博客
04-14 735
cookie安全性问题
关于Tomcat 8.5中Cookie的问题
qq_43673887的博客
11-03 1199
关于Tomcat 8.5中Cookie的问题 Tomcat 8 ( or later) 版本进了很多改进,其中的 Cookie 处理也升级到 RFC6265 规范,可能导致在 Tomcat 8 以前版本中运行无问题的Web项目在 Tomcat 8 中报下面错误: 源码: public class LastAccessServlet extends HttpServlet{ private static final long serialVersionUID = 1L; @Override pr
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
解决java后台登录前后cookie一致问题
08-31
本文主要介绍了java后台登录前后cookie一致解决方案,具有很好的参考价值,需要的朋友一起来看下吧
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 410
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
java + tomcat cookie 异常
weixin_30364325的博客
03-30 76
Cookie cookie = new Cookie(username,value); cookie.setMaxAge(60*60*24*7,cookie); response.addCookie(cookie); 在执行到 response.addCookie(cookie); 时 报错,发现在 cookie中保...
Cookie 缺少 HttpOnly属性和x-frame-options 缺失问题
w2363075992的博客
05-21 2230
过滤器dofileter 方法中 添加HttpServletRequest req = (HttpServletRequest) request;HttpServletResponse res = (HttpServletResponse) response;res.addHeader("Set-Cookie", " Path=/;  HttpOnly");  //Cookie 缺少 HttpOn...
具有不安全、不正确或缺少SameSite属性Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
cookie属性
blind
09-23 137
  Cookies最初设计时,是为了CGI编程。但是,我们也可以使用Javascript脚本来操纵cookies。在本文里,我们将演示如何使用 Javascript脚本来操纵cookies。(如果有需求,我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得,那么我现在就教你一手:仔细看看CGI.pm。在这个CGI包里有一个cookie()函数,可以用它建立cookie...
pageaudit属性不正确_Cookie 的 SameSite 属性
weixin_39524834的博客
12-03 129
我自己是一名从事了多年开发的web前端老程序员,目前辞职在做自己的web前端私人定制课程,今年年初我花了一个月整理了一份最适合2019年学习的web前端学习干货,各种框架都有整理,送给每一位前端小伙伴,想要获取的可以关注我的头条号并在后台私信我:前端,即可免费获取。Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。一、CSRF ...
nginx常见问题整理和解决办法
01-10
以下就是我们整理的nginx常见的问题,解决办法我们例举了1-2种,大家可以都测试下。 常见问题 问题一:相同server_name多个虚拟主机优先级访问 server{ listen 80; server_name server1; location{...} } ...
cookie的secure属性详解
09-03
5. **浏览器兼容性**:需要注意的是,尽管`secure`属性得到了广泛支持,但在某些较旧或非主流的浏览器中可能不完全有效。因此,开发者应当了解目标用户的浏览器环境,并进行适当的兼容性测试。 总结来说,`secure`...
PHP调用存储过程返回值不一致问题的解决方法分析
12-18
总结来说,解决PHP调用存储过程返回值不一致问题的关键在于正确管理和控制MySQL的会话,确保相关操作在同一会话内完成。通过使用`multi_query()`,我们可以确保输出参数的值在所有调用中保持一致。对于其他涉及跨...
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
cookie的SameSite属性不正确的问题
if_Echo_else的博客
05-22 681
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None。
踩坑升级tomcat 8.5.6引起的IE cookie问题
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
01-11 538
项目场景: 最近产线上升级Tomcat 8.5.6,很多用到cookie的功能,在IE上不能正常工作,比如记住密码功能。 背景知识: 首先我们了解一下两个Cookie参数max-age和Expires。 Expires 设置cookie被删除的有效期限 Max-age 设置cookie将被删除的时间(秒) Internet Explorer不支持“max-age”,尽管其他浏览器都支持 Max-age 对比Expires,让我们深入一下: Expires参数是由Netscape出炉的coo
【转】细说Cookie
weixin_34280237的博客
07-04 167
Cookie虽然是个很简单的东西,但它又是WEB开发中一个很重要的客户端数据来源,而且它可以实现扩展性很好的会话状态,所以我认为每个WEB开发人员都有必要对它有个清晰的认识。本文将对Cookie这个话题做一个全面的描述,也算是本人对Cookie的认识总结。 Cookie 概述 Cookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Coo...
cookie 具有缺失、不一致矛盾属性
08-09
使用 Cookie 时,可能会出现以下几种情况的属性缺失、不一致矛盾: 1. 属性缺失:当一个 Cookie 不包含所需的属性时,可能会导致无法正确识别用户或提供个性化服务。例如,一个 Cookie 可能没有设置过期时间属性,这样就无法控制 Cookie 在用户浏览器中的存储时间,可能导致 Cookie 在会话结束后仍然存在。 2. 属性一致:在某些情况下,同一个网站可能会为同一个用户创建多个不同的 Cookie,每个 Cookie 包含不同的属性值。这可能是因为网站在不同的页面上使用不同的 Cookie 设置,或者由于用户在访问网站时使用了不同的设备或浏览器。这种情况下,可能会导致用户的状态或偏好设置不一致,给用户带来不便或困惑。 3. 属性矛盾:有时候,不同的 Cookie 可能携带了相互矛盾属性。例如,一个 Cookie 可能设置了“记住我”的属性,使得用户在关闭浏览器后仍然保持登录状态;而另一个 Cookie 又设置了一个较短的过期时间属性,导致用户在一定时间后被强制登出。这样的属性矛盾可能会引发安全风险或用户不便。 为了避免以上问题,开发者在使用 Cookie 时应该按照规范设置合适的属性,并及时对属性进行验证和调整。同时,建议网站在用户登录时,清除之前的 Cookie,以确保每个用户只有一个有效的 Cookie,从而减少属性缺失或不一致。此外,使用 Session 对象等技术也可以减少对 Cookie 的依赖,提高用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值