Cookie上直接设置HttpOnly属性

最新推荐文章于 2024-07-20 10:00:00 发布
最新推荐文章于 2024-07-20 10:00:00 发布
阅读量1.1w 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinming1109/article/details/80281380
版权
1.需要在web.xml中配置过滤器

 <!-- cookie添加HttpOnly属性 -->
    <filter>
        <filter-name>CookieFilter</filter-name>
        <filter-class>文件目录.CookieFilter</filter-class>
    </filter> 
    <filter-mapping>
        <filter-name>CookieFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.java文件

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class CookieFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;


Cookie[] cookies = req.getCookies();


if (cookies != null) {
Cookie cookie = cookies[0];
if (cookie != null) {
/*
* cookie.setMaxAge(3600); cookie.setSecure(true); resp.addCookie(cookie);
*/


// Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
String value = cookie.getValue();
StringBuilder builder = new StringBuilder();
builder.append("JSESSIONID=" + value + "; ");
builder.append("Secure; ");
builder.append("HttpOnly; ");
Calendar cal = Calendar.getInstance();
cal.add(Calendar.HOUR, 1);
Date date = cal.getTime();
Locale locale = Locale.CHINA;
SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss", locale);
builder.append("Expires=" + sdf.format(date));
resp.setHeader("Set-Cookie", builder.toString());
}
}
chain.doFilter(req, resp);
}


public void destroy() {
}


public void init(FilterConfig arg0) throws ServletException {
}
}
七瑾爱编程
关注
Java使用Filter给cookie添加HTTPOnly属性
attacht的博客
11-18 1593
web.xml配置过滤器 <filter> <filter-name>HttpOnlyFilter</filter-name> <filterclass>com.attacht.web..filter.HttpOnlyFilter</filter-class> </filter> <filter-mapping> <filter-name>HttpOnlyFilter</filter-nam
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
java过滤器给Cookie加上HttpOnly属性
wangsaisoon的博客
12-18 3594
web.xml配置过滤器: &amp;amp;amp;amp;lt;!-- 向所有会话cookie中添加“HttpOnly属性 --&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;filter&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;filter-name&amp;amp;amp;amp;gt;HttpOnlyFilter&amp;amp;amp;amp;lt;/
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 3816
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性HttpOnly;
cookie 设置 httpOnly属性
weixin_33859504的博客
03-01 179
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException; importjavax.servlet.Filter; importjavax.servlet.FilterChain; importjavax.servlet.FilterConfig...
PHP设置CookieHTTPONLY属性方法
10-20
本文将详细讲解如何在PHP中设置CookieHTTPOnly属性HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是限制JavaScript对Cookie的访问。当一个Cookie设置HTTPOnly时,JavaScript的Document.cookie API和...
httpwebreqeust读取httponlycookie方法
08-31
首先,`HttpWebRequest`对象本身并不能直接读取响应头中的`Set-Cookie`字段,尤其是`HttpOnly`标记的Cookie。这是因为`HttpOnly` Cookie设计的初衷就是防止通过JavaScript访问,因此在`HttpWebRequest`的`...
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
HttpOnly属性是一种安全特性,用于防止客户端脚本访问Cookie,从而降低某些类型的跨站脚本攻击(XSS)的风险。 在.NET中获取HttpOnly Cookie通常较为困难,因为HttpOnly属性就是用来防止脚本访问的。但是.NET ...
Session CookieHttpOnly和secure属性
10-29
首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
springmvc shiro 框架增加 httpOnly
yuguang的博客
07-01 1093
<!-- 自定义会话管理配置 --> <bean id="sessionManager" class="com.thinkgem.jeesite.common.security.shiro.session.SessionManager"> <property name="sessionDAO" ref="sessionDAO"/> <!-- 会话超时时间,单位:毫秒 --> <property name="globalSessi.
JAVAEE兼容低版本设置CookieHttpOnly属性
蒋固金(jianggujin)的专栏
06-19 917
在做安全扫描的时候,会把Cookie中没有HttpOnly属性作为漏洞,需要处理,但是在低版本的Servlet API中并没有相关的设置方法,高版本可以直接使用Cookie对象的setHttpOnly(boolean httpOnly)方法进行设置,那么要解决这个问题,我们只能升级了吗?并不是,升级的代价可能会很大,所以本篇文章结合了新版本的API,可以直接为HttpServletResponse...
JAVA设置HttpOnly Cookies
y41992910的博客
02-22 5069
核心: 1.获取cookie Cookie[] cookies = request.getCookies(); 2.判断cookie是存储用户信息的,设置HttpOnly for (Cookie cookie2 : cookies) { System.out.println(cookie2.getName()); System.out.println(cookie2); if (cookie2.g...
HttpOnly Cookie 标志
allway2的博客
08-02 1152
只要您不运行javascript来收集网站流量数据或分析,那么您就可以使用HttpOnly为您的网站提供额外的保护层。HttpOnly标志似乎是保护网站上所有cookie信息的可靠方法,那么为什么不简单地将每个cookie标记为HttpOnly呢?与看起来不错的想法相反,有一些值得注意的例外情况是你不应该依赖这个HTTPcookie标志的保护——它们都与javascript有关。cookie标志通常添加到可能包含有关用户的敏感信息的cookie中。...
【前端安全】cookie中如果给某个字段设置HttpOnly会怎么样?
最新发布
xingyu_qie的专栏
07-20 1049
HttpOnly是由微软引入的一个Cookie标志,最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性,防止客户端脚本(如JavaScript等)通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击(XSS攻击),因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息,然后进行信息窃取或会话劫持等恶意行为。
Shiro中的session和cookie
m0_67265464的博客
08-24 2233
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
理解Session CookieHttpOnly与secure属性
尽管如此,`HttpOnly`属性无法防止用户本地的恶意软件或Firefox扩展如FireBug直接查看Cookie信息。 二、实例分析 在一个基于JSP、Servlet和Applet的项目环境中,我们如何使用和配置这两个属性呢? 1. 使用`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值