Cookie原理分析

最新推荐文章于 2023-07-15 23:30:00 发布
最新推荐文章于 2023-07-15 23:30:00 发布
阅读量225 收藏
点赞数
分类专栏: 杂七杂八 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmlqqs/article/details/108863215
版权

一、案例分析——Cookie设置HttpOnly,Secure,Expire属性

Tomcat版本为6.0.39,JDK版本为1.6update45

在Web工程上增加一个Filter对Cookie进行处理

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;
 
	    Cookie[] cookies = req.getCookies();
 
	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	Calendar cal = Calendar.getInstance();
	            	cal.add(Calendar.HOUR, 1);
	            	Date date = cal.getTime();
	            	Locale locale = Locale.CHINA;
	            	SimpleDateFormat sdf = 
	            			new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
	            	builder.append("Expires=" + sdf.format(date));
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}
 
	public void destroy() {
	}
 
	public void init(FilterConfig arg0) throws ServletException {
	}
}

web.xml:

<filter>
	<filter-name>cookieFilter</filter-name>
	<filter-class>com.sean.CookieFilter</filter-class>
</filter>

<filter-mapping>
	<filter-name>cookieFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

FireFox:
在这里插入图片描述
在这里插入图片描述
Chrome:

在这里插入图片描述
IE:
在这里插入图片描述

二、案例分析——cookie-resopnse对象addCookie和addHeader设置cookie区别

下面有两个具体的代码示例:

设置addCookie

@RequestMapping("/respAddCK")
    @ResponseBody
    public String respAddCK(@RequestBody  UserInfoVo loginUser){

        System.out.println("begin");
        AppUser user = loginService.queryLoginUser(loginUser);
        System.out.println("end");
        Cookie ck = new Cookie("respAddCK",loginUser.getUsername());
        response.addCookie(ck);

        return "very good!";
    }

设置addHeader

@RequestMapping("/respSetCK")
    @ResponseBody
    public String respSetCK(@RequestBody  UserInfoVo loginUser){

        System.out.println("begin");
        AppUser user = loginService.queryLoginUser(loginUser);
        System.out.println("end");
        StringBuffer cookieBuf = new StringBuffer();
        cookieBuf.append("respSetCK=").append(loginUser.getUsername()).append(";");
        cookieBuf.append("Path=/; HttpOnly;");
        response.addHeader("Set-Cookie",cookieBuf.toString());

        return "very good!";
    }

最终结果:
在这里插入图片描述
通过对比,发现都成功的设置了cookie,只不过具体值有差异,addHeader比addCookie灵活,可以设置的属性更多

三、案例分析——安全问题-Cookie未设置HttpOnly&&Cookie未设置Secure标识

阿里机测的系统漏洞(懒得打字,给报告部分截图):
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
问题解决:
过滤器处理一下就行了

CookieFilter.java

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class CookieFilter
 * 
 * 解决 Cookie未设置HttpOnly  &&  Cookie未设置Secure标识  问题
 * 
 * @author xiaheshun
 */
public class CookieFilter implements Filter {

    /**
     * Default constructor. 
     */
    public CookieFilter() {
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}

	/**
	 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
	 */
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request; 
		HttpServletResponse resp = (HttpServletResponse)response;
		Cookie[] cookies = req.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				String value = cookie.getValue();
				StringBuilder builder = new StringBuilder();
				builder.append(cookie.getName()+"="+value+";");
				builder.append("Secure;");//Cookie设置Secure标识
				builder.append("HttpOnly;");//Cookie设置HttpOnly
//				Calendar cal = Calendar.getInstance();
//				cal.add(Calendar.HOUR, 1);
//				Date date = cal.getTime();
//				Locale locale = Locale.CHINA;
//				SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
//				builder.append("Expires="+sdf.format(date));
				resp.addHeader("Set-Cookie", builder.toString());
				
			}
			
		}
		chain.doFilter(request, response);
	}

	/**
	 * @see Filter#init(FilterConfig)
	 */
	public void init(FilterConfig fConfig) throws ServletException {
		// TODO Auto-generated method stub
	}

}

web.xml

<!--xiaheshun 阿里云检测漏洞问题   解决   Cookie设置HttpOnly  &&  Cookie设置Secure标识  -->
	<filter>
		<filter-name>cookieFilter</filter-name>
		<filter-class>com.hxptp.filter.CookieFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>cookieFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>

解决成果:
此处不列举自己公司的截图,用蘑菇街的截图。
在这里插入图片描述
可能遇到的小小坑…也可能就我碰到的。

在设置Set-Cookie的时候,用addHeader,如果用setHeader的话,就只是设置一个cookie值得头信息限制,其实在平时会有很多cookie里的主要参数信息需要限制,有的消息也会有不同的浏览器可以存储的时间,所有要一个一个遍历出来设置Cookie的信息。

代码中有设置过期时间的,注释掉了,需要的时候,可以拿出来用。

jmlqqs
关注
专栏目录
SYN flood攻击及SYN cookie原理分析
Moeyinss
11-25 1761
一.环境 网络平台: GNS3 2.2.3 虚拟机软件: Oracle VM VirtualBox 6.0.14 虚拟机操作系统: SEED Ubuntu 16.04 32位 机器的配置: (两台虚拟机) (1)机器名:SEEDUbuntu 内存大小:1024M 处理器数量:1个 IP配置:192.168.1.1 (2)机器名:SEEDUbuntutarge...
php cookie工作原理与实例详解
12-18
4. **统计分析**: 通过Cookie收集用户行为数据,帮助网站分析流量来源和用户行为模式。 **处理Cookie数组** 1. **创建Cookie数组**: 可以通过两种方式创建Cookie数组: - 分别设置不同键名的Cookie,如`setcookie...
安全问题-Cookie未设置HttpOnly&&Cookie未设置Secure标识
大河向东流的博客
10-24 1万+
阿里机测的系统漏洞(懒得打字,给报告部分截图): 问题解决: 过滤器处理一下就行了 CookieFilter.java import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Local...
没有设置 HttpOnly 标志的 Cookie
m0_47005349的博客
05-31 1283
PHP中的设置 PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中 session.cookie_httponly = 设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启: <?php ini_set("session.cookie_httponly", 1); // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 4087
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
安全检测:会话cookie中缺少HttpOnly属性
qq_37432174的博客
01-02 6559
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
ucenter通信原理分析
12-19
1、用户登录discuz,通过logging.php文件中的函数uc_user_login对post过来的数据进行验证,也就是对username和password进行验证。 2、如果验证成功,将调用位于uc_client下client.php文件中的... ... 4、然后Ucenter的i
JSP 中Session的详解及原理分析
10-19
本文将深入讲解JSP中Session的原理和使用方法,并对比它与Cookie的区别。 首先,我们来了解Session的基本概念。Session是服务器端的一种机制,用于存储特定用户会话期间的信息。每当用户打开浏览器访问网站,服务器...
PHP中SSO Cookie登录分析和实现
12-18
总结起来,PHP实现SSO的关键在于理解Cookie的工作原理,掌握跨域策略,以及有效地利用Ticket机制进行身份验证。通过这样的方式,可以构建一个高效、安全的单点登录系统,提升用户在多应用环境下的使用体验,同时降低...
cookie分析工具
09-13
一款很强大的cookie分析工具,支持ie浏览器,运行简单,可以对你电脑中保存的ie浏览记录进行分析
cookie分析
weixin_34161029的博客
10-22 192
浏览器cookie分析 简单点说就是数据存储,通过JavaScript将要保存的数据保存在客户端浏览器,下次打开网页时调用保存的cookie。浏览器中cookie保存的形式:user=aa; pwd=123; sex=man; 还要注意的是cookie的过期时间expires。好了!简单分析到此结束,开始代码吧! END 百度经验:jingyan.ba...
会话Cookies未被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 8796
会话Cookies未被标记为HTTPOnly 漏洞描述 如果在cookie上设置了HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie未设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie都设置HttpOnly标志。 除非你特别要求在你的应用程序中,通过合法的
cookie的httponly问题
左直拳的马桶_日用桶
06-01 1215
更奇怪的是,进一步调试,发现别的cookie都能顺利更新,唯独这个token不行。这代表该cookie无法被javascript操纵,既不能读取,更不能更改或删除,所以就无法被前端脚本所操作,只能是浏览器自己玩。cookie里的token还是旧的,这样的话,到后台请求资源,带上的token还是旧的,系统认为没有登录,于是退出,又回到了登录界面。鉴于“token”这个名字,差不多等于系统保留字,猜测是后台调用了其他系统返回所导致,覆盖了我们自己那个。于是将“token”改为“mytoken”,以进一步观察。
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
Cookie没有HTTP Only标志漏洞
waitle500的博客
01-26 2655
Cookie没有HTTP Only标志漏洞
漏洞修复:Cookie Security: HTTPOnly not Set on Application Cookie
CutelittleBo的博客
01-28 3980
描述 The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be
cookie解析
wanghuafeng
02-11 900
__author__ = 'huafeng' #coding:utf-8 import requests url = 'http://www.zhihu.com/topics#%E6%91%84%E5%BD%B1' # s = requests.session() r = requests.get(url)#如果不请求过程中不涉及session信息的修改,则无需使用request.session
检测到会话cookie中缺少HttpOnly属性
最新发布
lxyoucan的博客
07-15 1679
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
Cookie技术分析与理解
HowNoon
05-19 4455
Cookie技术分析与理解本文主要介绍cookie技术的使用与分析cookie是什么? cookie的使用方法 cookie的应用场景 cookie使用需注意的细节cookie是什么 首先引入度神的解释:Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109和2965都已废弃,最新取代的
JavaWeb Session原理Cookie关系探究
总结来说,JavaWeb session原理分析涉及了HTTP协议、cookie、session ID的生成与管理,以及如何在服务器端利用session存储用户状态。开发人员需要理解这些基本概念,以便在实际项目中有效地实现用户会话管理和状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值