为Cookies增加Secure属性

最新推荐文章于 2024-08-13 14:23:27 发布
最新推荐文章于 2024-08-13 14:23:27 发布
阅读量1.2w 收藏 7
点赞数 1
分类专栏: java web tomcat 文章标签: tomcat web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_1034/article/details/82677632
版权
java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
web
4 篇文章 0 订阅
订阅专栏
tomcat
1 篇文章 0 订阅
订阅专栏
1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

为了提高网站安全性,创建的cookie要增加secure属性,但此属性仅限于https协议时,该cookie才能被读取到,因此定义的时候要注意为https协议。
另外,名为jessionId的为Tomcat创建的cookie,应该在server.xml中进行配置 

<Connector port="8080"
                connectionTimeout="20000"                URIEncoding="UTF-8"
protocol="org.apache.coyote.http11.Http11NioProtocol"
            secure="true"
                />

增加secure="true"属性配置即可。
httponly属性,需要在 
<Context docBase="web" path="/web" reloadable="false" useHttpOnly="true" sessionCookiePath="/" />
中配置。
sessionCookiePath是修改jsessionid的path的
至于程序中增加属性采用: 

Cookie cookie = new Cookie(name, value);
		cookie.setPath("/");
		cookie.setMaxAge(-1);
		if (isHttps)
			cookie.setSecure(true);
		cookie.setHttpOnly(true);
		response.addCookie(cookie);

即可。
iteye_1034
关注
专栏目录
MTK Android12系统中的Strict Secure Cookie Policy问题
我其实什么都不会
08-01 1157
本文介绍在Android 12系统中,应用程序在设置Strict Secure Cookie Policy问题临时解决方案
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
cooiek的Secure属性设置
m0_61560589的博客
10-11 2151
cooiek中有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek中要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
https工作原理详解
最新发布
时光不语的博客
08-13 5816
https工作原理详解/一文了解HTTPS工作全貌
cookie增加Secure属性
weixin_33739627的博客
03-14 1650
2019独角兽企业重金招聘Python工程师标准>>> ...
【漏洞修复】--nginx为Cookie添加Secure标记
u012429202的博客
07-31 3375
如上配置,在全局server中添加:proxy_cookie_path / "/;在https环境中,等保要求为 set-cookie增加secure属性(为了安全,防止http请求时使用此cookie)检查“Response Headers”(或类似名称),查找名为“Set-Cookie”的响应头。打开浏览器的开发者工具(通常是按下F12键),切换到“Network”或“网络”选项卡。在开发者工具中,选择与您访问的网站对应的请求(通常是网站首页的请求)。访问您配置了添加Secure标记的网站。
SpringMVC cookie设置Secure
u014153748的博客
12-04 1552
SpringMVC cookie设置Secure Secure设置为true那么cookie就只能https协议发送给服务器。 新建Filter,用来添加Secure。 public class CookieHttpOnlyFilter implements Filter 重写doFilter方法 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOEx
前端cookies安全视频
12-14
3. 定期刷新:定期更新Cookies的内容,增加攻击者利用已知Cookies的难度。 视频内容可能还包括实战示例,演示如何在JavaScript中创建、读取和删除Cookies,并解释如何在实际项目中应用上述安全措施。观看此视频,...
【系统安全】cookie未设置Httponly属性和未设置Secure标识
热门推荐
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
cookies的使用方法
07-20
通过这种方式,开发者可以在不增加太多代码复杂性的情况下,有效地实现客户端的状态管理。在实际项目中,根据需求还可以进行更多的定制和扩展。在提供的压缩包文件"jquery中的cookies用法"中,应该包含了相关示例...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookiesecure属性详解
12-07
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。 顾名思义,这个属性就是用来保证cookie的安全的。 当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。 简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2) 1. 先在console1中输入以下代码 [removed] =
IIS实现反向代理时Cookie域的设置方法
01-03
反向代理 神马是反向代理?指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。我们可以通过反向代理实现负载平衡、突破防火墙限制等一些非常实用的Web服务器功能,目前反向代理不管在私有云还是公有云的虚拟机上用的很多很多。 引用 IIS通过URL重写可以实现反向代理,通过简单的配置即可以将请求转发到其它内部站点。 此时被代理的所有站点的cookie的域(domain)会自动设置为提供反向代理功能的站点的域,这一般来说没有问题。但是在多站点共享cookie时会存在
Cookie属性secure、httponly
weixin_44843710的博客
12-02 2187
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
COOKIESECURE属性
几钱清风
11-17 7529
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2477
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
cookie setSecure详解
zzhongcy的专栏
03-31 8043
最近项目用检测漏洞 在cas中或其他web开发中,会碰到安全cookie的概念,因为CAS中TGT是存放在安全cookie中的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
Tomcat 修改Cookies安全性
Hern(宋兆恒)
04-20 6064
修改方法 1、进入Tomcat的conf文件夹,打开context.xml文件 2、 将其中的<Context>标签属性更改为<Context useHttpOnly="true">: Cookie常用属性 Cookie名称,Cookie名称必须使用只能用在URL中的字符,一般用字母及数字,不能包含特殊字符,如有特殊字符想要转码。如js操作cookie的时候...
c# 配置cookie Secure属性
qq_43949291的博客
01-11 579
c# 配置 cookie secucre属性
Cookies属性测试方法
05-18
在浏览器中测试Cookies属性可以使用以下方法: 1. 打开浏览器控制台。通常可以通过按下F12键或右键点击页面并选择“检查”来打开控制台。 2. 在控制台的“控制台”选项卡中,输入以下代码: ``` document.cookie ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值