有时候会看到安全扫描报告中这样描述:影响所有Set-Cookie消息头中未设置可选属性Secure的系统。解决方案是:为cookie设置Secure属性
代码如下:
private void writeCookie(HttpServletResponse response, String name, String value, String domain, String path, int maxAge,boolean isSecure) {
Cookie cookie = new Cookie(name, value);
cookie.setVersion(0);
cookie.setPath(path);
cookie.setSecure(isSecure);
if (domain != null) {
cookie.setDomain(domain);
}
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
}
有两个属性可以设置:
1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
根据实际需要进行设置
设置后在浏览器中查看cookie,会发现这样的改变:
secure属性为true,但这里有个叹号提示非安全链接这个属性将不会被接收到,如果改为Https连接该提示将不会有,如下所示: