HTTP-only Cookie 脚本获取JSESSIONID的方法

最新推荐文章于 2024-05-16 09:23:29 发布
最新推荐文章于 2024-05-16 09:23:29 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: java 文章标签: python 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuai05251986/article/details/84913361
版权








  



一般扫描报告等级定为低危,如appscan。
一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。
Secure和HttpOnly:
Secure属性:
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
HttpOnly属性:
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
Java的Web容器中设置该属性:
在Java的web应用里,我们要保护的有JSESSIONID这个cookie,因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的。所以这个cookie是不应该由客户端脚本来操作的,它很适合用HttpOnly来标识它。
在tomcat6之前只能按照如下方法设置HttpOnly:
String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");
对于tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context path="" docBase="D:/WORKDIR/oschina/webapp" reloadable="false"useHttpOnly="true"/>
也可以在 web.xml 配置如下:
<session-config>
<cookie-config>
  <http-only>true</http-only>
</cookie-config>
</session-config>
对于weblogic,可以在weblogic.xml里添加
<session-descriptor>
<cookie-http-only>false</cookie-http-only>
</session-descriptor>
但由于weblogic的版本的不同,weblogic.xml的对该参数的支持也不太一样
已知的如下:
这是10.3.3的有关weblgic_xml的定义
http://download.oracle.com/docs/ ... ic_xml.htm#i1071981
这是10.3.1和10.3.2的有关weblgic_xml的定义
http://download.oracle.com/docs/ ... ic_xml.htm#i1071981 可以看出weblogic在10.3.3中支持在weblogic.xml里配置
<session-descriptor>
<cookie-http-only>false</cookie-http-only>
</session-descriptor>
经过进一步查看10.3.4和10.3.5中都支持该参数的配置
而9.2版本也支持该参数的配置
如下路径http://download.oracle.com/docs/ ... _xml.html#wp1071982
所以好像这个参数出现的版本不太固定
相关路径:
http://www.iteye.com/topic/1114228
http://download.oracle.com/docs/ ... p/weblogic_xml.html
http://serverfault.com/questions ... ogic-what-versions-support-them-how-and-why-are-they-su
http://cn.forums.oracle.com/forums/thread.jspa?threadID=1518073
http://cn.forums.oracle.com/forums/thread.jspa?threadID=953056



对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly

1 <httpCookies httpOnlyCookies="true" …>




而程序的处理方式如下:
C#:

1HttpCookie myCookie = new HttpCookie("myCookie");

 

2myCookie.HttpOnly = true;

 

3Response.AppendCookie(myCookie);




VB.NET:

1Dim myCookie As HttpCookie = new HttpCookie("myCookie")

 

2myCookie.HttpOnly = True

 

3Response.AppendCookie(myCookie)




.NET 1.1 只能手工处理:

1Response.Cookies[cookie].Path += ";HttpOnly";


Java示例:
HttpServletResponse response2 = (HttpServletResponse)response;
response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 

PHP 从 5.2.0 版本开始就支持 HttpOnly

1session.cookie_httponly = True
lishuai05251986
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎样获取和使用httponly=1的Cookie
08-15 6499
1、传统方法不能获取到完整的Cookie 在我们访问网站时,网站把用户数据保存在Cookie中,Cookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。 2、httponly是什么Cookie 对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...
前端如何获取Cookie
の博客
05-18 466
前端获取cookie
什么是HTTP-only Cookie,它有什么安全特性?
最新发布
长风破浪会有时的博客
05-16 139
最主要的安全特性就是它能防止一些坏人(黑客)偷看你的小纸条(Cookie)上的信息。因为黑客通常会通过一些手段在你的浏览器里运行恶意程序(比如JavaScript),然后尝试读取或修改你的CookieCookie就像是小纸条,当你在浏览网站的时候,网站会把一些小纸条(Cookie)放在你的浏览器里。这样,当你下次再去这个网站的时候,网站就可以通过读取这些小纸条来认识你,并为你提供更好的服务。它的特殊之处在于,它只能被网站服务器读取和修改,而不能被浏览器里的其他程序(比如JavaScript)读取或修改。
java contextpath_Java Context.getEncodedPath方法代码示例
weixin_28983299的博客
02-16 153
import org.apache.catalina.Context; //导入方法依赖的package包/类/*** Creates a new session cookie for the given session ID** @param context The Context for the web application* @param sessionId The ID of...
session
weixin_45104211的博客
11-18 136
session的作用相当于一个信号,作用是通过这一个信号将客户端与服务器的一次完整的会话(这里说的完整是在保证服务器端不删除session数据的情况下)记录下来 运作机理 在第一次客户端通过浏览器向客户端进行访问时——>服务器端会自动为本次访问进行一次记录,...
关于获取httponly属性保护的cookie的思考
weixin_50464560的博客
08-13 5375
以前在面试过程中有被遇到过这个问题,当时也是答的模棱两可,后面参考了网上的文章进行一些简单的整理和思考。 httponly的作用 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,主要影响就是XSS攻击中无法通过document对象直接获取cookie。 如何绕过 首先需要明确的是,因为无法通过js脚本获得cookie信息,经过自己的简单总结,我们可以从以下方面下手: 1.敏感信息泄露 因为无法使用js脚本获取到带httponly属性的cookie,那会不会前
APIFox-自动获取登陆状态脚本
02-26
作为纯后端开发码农,每次接口开发完的调试很重要,因此每次重复的手动获取登陆状态Token或者直接放行就太麻烦了。 APIFox提供了前置操作,可以很方便的自动获取登录状态,节省大量重复劳动时间。
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
tomcat修改jsessionidcookie中的名称
04-14
tomcat修改jsessionidcookie中的名称
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
关于属性HTTPONLY的COOKIE获取
windless0530的专栏
05-21 8712
IE8以上,InternetGetCookieEx可以传参数INTERNET_COOKIE_HTTPONLY (值为0x2000) 来获取这类COOKIE,但在IE6上就没办法了。所以,获取COOKIE最稳妥的方式还是要属自己去解析文本。 
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3004
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
java配合js在前台获取jsessionid
hwm的专栏
10-19 3万+
浏览器与服务器之间的每一个回话都有一个session,session id 是位置标志,在java环境中,这个session的 id 就叫做jsessionid。 可以直接中session中获取,比如String jsessionid = request.getSession.getId(); 开启一段新的回话时,服务器会把jsessionid传到浏览器,浏览器存在cookie中,
做web开发,怎么能不懂cookie、session和token呢?
热门推荐
no problem的博客
06-30 5万+
如果把人体比作一个web系统的话,cookie、session和token就好像人体的经络和血管一样,而web系统中的数据,就好像人体的血液一样。血液依靠着血管在人体内流动,就如数据根据cookie和session机制在web系统中流动一样。而web系统开发者就好比一个医术精湛的医生,医生需要十分清楚人体的经络和血液流向才能对症下药,而web系统开发者需要十分清楚cookie、session机制,才能迅速解决疑难BUG,开发出更好的web系统。 引入: ...
php httponly_php中如何设置cookie_httponly
weixin_39849254的博客
03-09 505
php设置httponly的方法:首先打开php配置文件“php.ini”;然后找到“session.cookie_httponly”设置项;接着按“i”,使“vi”进入编辑模式,并将值设为“1”;最后重启“php-fpm”即可。推荐:《PHP教程》php.ini设置cookie_httponly方法:通过 php --ini命令找到php配置文件所在路径# php --ini打开php配置文件p...
如何将cookiehttponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 5495
cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
js网页中获取浏览器的cookie内容
weixin_45390688的博客
04-08 2646
function getCookie(name){ var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 for ( var i = 0; i < arrcookie.length; i++) { var arr = arrcookie[i].split("=");
jsessionid怎么获取cookie
06-01
当用户第一次访问Web应用程序时,Web服务器将创建一个新的JSESSIONID,并将其存储在一个名为"Set-Cookie"的HTTP响应头中,然后将其发送回给客户端浏览器。浏览器将JSESSIONID存储在一个名为"Cookie"的HTTP请求头中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值