Cookie设置HttpOnly,Secure,Expire属性

最新推荐文章于 2024-08-10 14:04:12 发布
最新推荐文章于 2024-08-10 14:04:12 发布
阅读量554 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyf_ldh/article/details/79761117
版权



在Web工程上增加一个Filter对Cookie进行处理

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;

	    Cookie[] cookies = req.getCookies();

	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	Calendar cal = Calendar.getInstance();
	            	cal.add(Calendar.HOUR, 1);
	            	Date date = cal.getTime();
	            	Locale locale = Locale.CHINA;
	            	SimpleDateFormat sdf = 
	            			new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
	            	builder.append("Expires=" + sdf.format(date));
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}

	public void destroy() {
	}

	public void init(FilterConfig arg0) throws ServletException {
	}
}

web.xml:

 

<filter>  

    <filter-name>cookieFilter</filter-name>  

    <filter-class>com.sean.CookieFilter</filter-class>  

</filter>  

  

<filter-mapping>  

    <filter-name>cookieFilter</filter-name>  

    <url-pattern>/*</url-pattern>  

</filter-mapping>  

ldh_lyf
关注
专栏目录
Tp5开启cookie和session安全传输secure和httponly
李维山的博客
08-07 1986
在配置文件 config.php 中设置如下: // +---------------------------------------------------------------------- // | 会话设置 // +---------------------------------------------------------------------- 'session' => [ 'id' => '', // SESSI
Spring-boot框架-Cookie使用
ChenZIDu的博客
12-13 2004
Spring Boot是一个简化Spring开发的框架。用来监护spring应用开发,约定大于配置,去繁就简,just run 就能创建一个独立的,产品级的应用。 我们在使用Spring Boot时只需要配置相应的Spring Boot就可以用所有的Spring组件,简单的说,spring boot就是整合了很多优秀的框架,不用我们自己手动的去写一堆xml配置然后进行配置。从本质上来说,Sprin...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
CookieSecure属性
weixin_30549175的博客
12-15 1947
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie设置Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
前端安全问题汇总
最新发布
ParanoidT的博客
08-10 655
即使携带恶意脚本的响应没有实际在页面被解析执行,但是如果接口响应Content-type此刻为html,这就满足了脚本可执行的基本条件,对于扫描软件来说,这就是有问题的case。上述代码被攻击者加了恶意代码,当用户请求上述代码,服务器没有对用户输入进行充分的验证或转义,服务器可能会直接将这些代码插入到返回的HTML中。注入的脚本永久存储在Web服务器上,如数据库、内存或文件系统中。所谓反射,是指此种类型的注入脚本必须被包含在发往Web服务器的请求中,然后Web服务器以某种方式反射到用户浏览器执行。
Cookie属性secure、httponly
weixin_44843710的博客
12-02 2101
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 8010
Cookie 中有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
CodeIgniter删除和设置Cookie的方法
12-18
- **HTTPOnly**:为了防止跨站脚本攻击(XSS),最好在设置Cookie时指定`httpOnly`标志,这会阻止JavaScript访问Cookie,降低攻击风险。 - **Secure Flag**:在HTTPS连接上设置Cookie时,添加`secure`标志可确保Cookie...
Springboot应用中设置Cookie的SameSite属性
csdn_0xFFFF的博客
08-31 5299
Cookie除了key和value以外有几个属性httpOnly 是否允许js读取cookie secure 是否仅仅在https的链接下,才提交cookie domain cookie提交的域 path cookie提交的path maxAge cookie存活时间 sameSite 同站策略,枚举值:Strict Lax None 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。 关于S
在PHP中设置、使用、删除Cookie的解决方法
10-27
setcookie(string $name, string $value, int $expire, string $path, string $domain, bool $secure, bool $httponly); ``` - `$name`:Cookie的名称。 - `$value`:Cookie的值。 - `$expire`:Cookie的过期时间,...
cookiesecure属性详解
12-07
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。 顾名思义,这个属性就是用来保证cookie的安全的。 当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。 简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2) 1. 先在console1中输入以下代码 [removed] =
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookie setSecure详解
zzhongcy的专栏
03-31 8005
最近项目用检测漏洞 在cas中或其他web开发中,会碰到安全cookie的概念,因为CAS中TGT是存放在安全cookie中的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
cookiesecure属性
08-22 242
你还记得服务器端发送 Set-Cookie: 头部的时候可以包括哪些属性么?name=value、path、domain、Expire...这就是全部么? 不知道有多少人能记得这个 secure,并且能第一时间正确说出它的用途,hoho 基本上我们所有的 web 安全都是依靠
COOKIESECURE属性
几钱清风
11-17 7517
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3274
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8909
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Cookie中的Secure和HttpOnly
love_every_day的博客
08-04 159
Cookie中的Secure和HttpOnly secure属性secure设置为true时,可以防止信息在传递的过程中被监听捕获后导致信息泄露,创建的 Cookie 会以安全的形式向服务器传输,只能在 https 连接中被浏览器传递到服务器端进行会话验证,如果是 http 连接则不会传递传递该 Cookie,所以不会泄漏信息。 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过Js等将无法读取到Cookie信息,这样能有效的防止XSS攻击。 ...
PHP中Cookie与Session设置与操作详解
每个浏览器有最大数量(通常是30个)和大小限制(每个不超过4KB),同时每个网站最多只能设置20个Cookie。此外,删除Cookie时,可以使用`setcookie`函数,但不指定`value`值: ```php Setcookie("testCookie", "", ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值