Set-Cookie 的 secure 属性到底是干什么用的

    有时候会看到安全扫描报告中这样描述:影响所有Set-Cookie消息头中未设置可选属性Secure的系统。解决方案是:为cookie设置Secure属性

代码如下:

private void writeCookie(HttpServletResponse response, String name, String value, String domain, String path, int maxAge,boolean isSecure) {
		Cookie cookie = new Cookie(name, value);
		cookie.setVersion(0);
		cookie.setPath(path);
		cookie.setSecure(isSecure);
		if (domain != null) {
			cookie.setDomain(domain);
		}

		cookie.setMaxAge(maxAge);
		response.addCookie(cookie);
	}

有两个属性可以设置:

1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

根据实际需要进行设置

设置后在浏览器中查看cookie,会发现这样的改变:

secure属性为true,但这里有个叹号提示非安全链接这个属性将不会被接收到,如果改为Https连接该提示将不会有,如下所示:

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值