开发安全之:Cookie Security: Cookie not Sent Over SSL

于 2024-01-17 10:56:47 发布
阅读量735 收藏 10
点赞数 9
文章标签: 安全 ssl 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/irizhao/article/details/135644525
版权
本文讨论了在创建Cookie时未设置Secure标记的风险,强调了HTTPS安全的重要性。建议所有新cookie设置Secure标记以防止数据泄露,尤其是在混合使用HTTP和HTTPS时。
摘要由CSDN通过智能技术生成

Overview

程序创建了 Cookie,但未将 <code>Secure</code> 标记设置为 <code>true</code>。

Details

现今的 Web 浏览器支持每个 cookie 的 Secure 标记。如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie。通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性。如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要。

示例 1:以下代码会在未设置 Secure 标记的情况下将 cookie 添加到响应中。 ... setcookie("emailCookie", $email, 0, "/", "www.example.com"); ... 如果应用程序同时使用 HTTPS 和 HTTP,但没有设置 Secure 标记,那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。攻击者随后可截取未加密的网络信息流(通过无线网络时十分容易),从而危及 cookie 安全。

Recommendations

对所有新 cookie 设置 Secure 标记,指示浏览器不要以明文形式发送这些 cookie。通过将 true 作为第六个参数传递给 setcookie(),便可完成此配置。

示例 2:以下代码会通过将 Secure 标记设置为 true 来更正Example 1 中的错误。 setcookie("emailCookie", $email, 0, "/", "www.example.com", TRUE);

irizhao
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全httponly samesite http cookie属性并设置cookie说明
weixin_26711867的博客
09-04 2429
Cookies are the most common method to add temporary persistency to websites. They are used in most websites and we know their consent banners. HTTP Cookies can contain crucial and confidential data, t...
[20][03][20] Cookie Security: Cookie Not Sent Over SSL
安全新司机
12-23 2011
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 所创建的 cookie 的 secure 标记没有设置为 true Web 浏览器支持每个 cookie 的 secure 标记. 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie. 通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性. 如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要 2. 问题场景 在下面的示例中,在未设置 secure 标
漏洞修复:Cookie Security: Cookie not Sent Over SSL
CutelittleBo的博客
01-28 5229
描述 This policy states that any area of the website or web application that contains sensitive information or access to privileged functionality such as remote site administration requires that all cookies are sent via SSL during an SSL session. The URL: ht
[20][03][24] Cookie Security: Persistent Cookie
安全新司机
12-30 1185
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在长期有效的 cookie 中存储敏感数据, 可能会导致机密性被破坏或帐户受到损害 2. 问题场景 大多数 Web 编程默认创建非持久 cookie, 这些 cookie 只驻留在浏览器内存中 (cookie 不会写入磁盘), 并在浏览器关闭时丢失,程序员可以指定 cookie 在浏览器会话之间被持久化, 直到某个未来的日期, 这样的 cookie 被写入磁盘, 并在浏览器会话和计算机重启时保存下来 如果私人信息被存储在长期有效的 cook
[20][03][21] Cookie Security: HttpOnly not Sent
安全新司机
12-30 1253
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 程序创建 cookie 时没有将 HttpOnly 设置为 true 2. 问题场景 所有主流浏览器都支持 cookie 的 HttpOnly 属性,该属性阻止客户端脚本访问 cookie,跨站点脚本攻击通常会访问 cookie,试图窃取 cookie 或 session,没有启用 HttpOnly 攻击者更容易访问用户 cookie 3. 修复方案 在代码中设置 cookie 的 HttpOnly 属性为 true Cookie cook
Cookie的Secure属性
weixin_30549175的博客
12-15 1916
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
计算机网络安全技术:Cookie的作用与修改.pdf
05-12
1. 用户身份认证:Cookie最常见的用途是维持用户登录状态。当用户在网站上输入用户名和密码并选择“记住我”或“自动登录”时,服务器会将加密后的身份凭证存储在Cookie中,然后发送给用户的浏览器。之后,只要...
LotusPhp笔记之:Cookie组件的使用详解
12-19
例如,设置一个名为`userName`,值为`我是帅哥`,一小时后过期的Cookie: ```php $cookie->setCookie('userName', '我是帅哥', time()+3600); ``` 读取Cookie使用`getCookie`方法,传入Cookie的名称即可: ```php...
Web应用安全:Cookie参数越权.pptx
06-18
【Web应用安全:Cookie参数越权】 Web应用安全是一个至关重要的领域,因为它涉及到用户的隐私和数据保护。在本文中,我们将深入探讨一个特定的安全威胁——Cookie参数越权,这是一种允许攻击者非法访问与他们拥有...
Web应用安全:Cookie参数越权习题习题.docx
06-17
Web 应用安全:Cookie 参数越权习题习题 Cookie 是一种小型文本文件,完全存在于客户端,设计用来在服务端和客户端进行信息传递的。Cookie 保存了登录的凭证,有了它,只需要在下次请求时带着 Cookie 发送,就不必...
this set-cookie was blocked because it was not sent over a secure connection and would have overwrit
Mr_yangx的博客
04-13 3119
报错翻译: 此set-cookie被阻止,因为它不是通过安全连接发送的,并且会覆盖具有安全属性的cookie。 解决办法: 清除浏览器的浏览数据。 原因分析: 因为浏览器保存了https://192.168.10.98:8800的cookie,所以,再次访问http://192.168.10.98:8800的网站时,会报这个错误。(重点:第一次访问的是https,第二次访问的是http) ...
我遇过的最难的Cookie问题
前端大全
03-07 1127
(给前端大全加星标,提升前端技能)转自:高级前端进阶前言几个礼拜前我在工作上碰到了一些跟Cookie 有关的问题,在这之前,我原本想说:Cookie 不就那样嘛,就算有些...
尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure“属性,但未通过安全连接发送
热门推荐
gusijin的博客
09-29 2万+
尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure"属性,但未通过安全连接发送问题:原因:解决 问题: 浏览器端cookie就是没有设置成功, 后来注意到header的Set-Cookie:参数后面有带着secure的属性 提示: 尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure"属性,但未通过安全连接发送 This attempt to set a cookie via a Set-Cookie header was blocked bec
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4431
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
记录一下Security扫描的问题
Andy Han的博客
07-27 3560
Session Fixation SessionID 需要登陆后更新。 Cookie Security: Cookie not Sent Over SSL Cookie 需要Secure标志。 Cookie Security: Persistent Cookie Cookie 不能有expires,否则Cookie会被浏览器存储在磁盘上。 Cache Management: Sessio...
[20][03][23] Cookie Security: Over Broad Path
安全新司机
12-30 1663
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的有效路径, 可以通过同一域名中的其他应用程序访问 2. 问题场景 开发人员经常将 cookie 设置有效路径为 "/" 可以访问, 这将向域名上上的所有 web 应用程序开放 cookie, 由于 cookie 通常携带会话标识符等敏感信息, 跨应用程序共享 cookie 可能导致一个应用程序的漏洞, 从而危及另一个应用程序 Cookie cookie = new Cookie("token", token); co
跨域与同源策略
howeres的博客
04-03 826
Same-origin policy也就是同源策略;是为了防止假冒网站冒充源网站,对网站进行了一些限制,主要有Cookie、LocalStorage 和 IndexDB 无法读取、DOM 无法获得、AJAX 请求不能发送,同时还规定,提交表单不受同源政策的限制。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。协议相同(http)、域名相同(www.amazon.com)、端口相同(80); 但有时,我们就需要去跨网站请求,这就需要用.
security cookie
free2o的专栏
06-20 5602
     在微软的c/c++ 编译器中,增加了对于栈溢出进行检测的参数 “/GS”,在调试shellcode 的时候,发现vs2005 产生的code 和 vc6 产生的code 有些不同,才让我注意到这个问题。     写了这样的一个测试程序:     void foo(const char * datas)      {       char szbuf[32];     
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2460
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
前端实战:Cookie的工作原理与操作
3. **Cookie的工作原理**:Cookie是Web应用中用于存储用户状态和信息的小型文本文件。文章详细描述了Cookie的工作流程,从无Cookie状态开始,通过服务器响应设置Cookie,浏览器保存并自动在后续请求中携带Cookie。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值