由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 Cookie “JSESSIONID”。

最新推荐文章于 2024-01-15 09:56:37 发布
最新推荐文章于 2024-01-15 09:56:37 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: 刚好遇见你 tomcat 文章标签: https http tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61237221/article/details/122547158
版权

记一次无法登录tomcat部署的wepapp页面,用户密码都是对的,验证码也是输入正确,但是页面报错提示是验证码不正确。用火狐开发工具查看出现以下报错

由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 Cookie “JSESSIONID”。

解决办法:

查看tomcat配置文件,发现自己启用了cookie的HttpOnly属性,接下来就把他关闭掉。

1、修改$CATALINA_HOME/conf/context.xml,把<Context useHttpOnly="true">,改为<Context useHttpOnly="false">
2、在$CATALINA_HOME/conf/web.xml中sesion-config节点找到以下配置,(此配置只允许cookie在加密方式下传输。)


    <session-config>
        <session-timeout>30</session-timeout>
        <cookie-config>
            <secure>true</secure>
        </cookie-config>
    </session-config>

修改为
    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>

30为时间,单位是分钟。

3、重启tomcat

周易不易
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置Secure‘属性(CWE-614)
Tianqi_Wukong的博客
01-20 809
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置Secure’属性(CWE-614:Generation of Error Message Containing Sensitive Information) 什么是HTTPS会话里的敏感Cookie没有设置Secure’属性缺陷? HTTPS会话里的敏感Cookie没有设置Secure’属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookieHTTPS会话里的敏感Cookie没有设置Secure’属性缺陷构成条
Session CookieHttpOnly和secure属性
10-29
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
解决penpot局域网下无法登录的问题
m0_64458676的博客
02-27 1131
Penpot是面向产品团队的开源设计和原型设计工具,是与figma相似的基于"web"开发的UI设计工具,并且它完全开源,并且免费。由于过去两年多了,官方修改了config.env集成到了docker-compose.yaml文件中所有只能拉取到一个。所以这里主要讲在没有公网IP,没有内网穿透的情况下,局域网部署penpot,如何解决penpot登录的问题。这是因为局域网下没有办法通过HTTPS://,但安全cookie只允许HTTPS://域下访问。所以问题找到了就是要把安全cookie关掉。
【安全问题】加密会话(SSL)Cookie 中缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
加密会话(SSL)Cookie 中缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
Cookie 缺失secure漏洞修复
煜铭2011
06-27 9186
0x00 漏洞背景 Cookie Secure,是设置COOKIE时,可以设置的一个属性设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。 如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。 攻击者即使窃听网络,也无法获取用户明文cookie。 0x01 修复思路 设置cookie时,加入属性
cookiesecure属性添加问题
baisheyuanqi的博客
09-21 6517
图片导入到excel 跟网上那些导入图片没有太多区别,但是图片的插入还是有点体会的
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure“属性,但未通过安全连接发送
gusijin的博客
09-29 2万+
尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure"属性,但未通过安全连接发送问题:原因:解决 问题: 浏览器端cookie就是没有设置成功, 后来注意到header的Set-Cookie:参数后面有带着secure的属性 提示: 尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure"属性,但未通过安全连接发送 This attempt to set a cookie via a Set-Cookie header was blocked bec
CookieSecure和HttpOnly属性JSESSIONID 刷新
Mr.Chen的博客
01-03 4134
目录 一:CookieSecure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 刷新 一:CookieSecure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出...
前端项目cookie无法设置问题记录
xt_XiTu的博客
11-08 844
cookie无法设置问题记录 项目中遇到了一个cookie无法设置的问题,大佬排查之后,找出原因如下: 当前服务器下不同端口有另外一个项目,并且存储cookie名称与我项目相同。 正常来说,我项目登录后会直接将另外一个项目cookie覆盖掉,这样使用时还是正常的。 但是由于另外一个项目是https的,cookie中有一个secure属性设置为true,此时,https的我的项目cookie无法覆盖https设置的带有secure属性cookie,导致项目无法登录 ...
火狐浏览器设置cookie失败_如何启用火狐浏览器的Cookie功能 这些经验不可多得...
weixin_39841610的博客
12-22 4413
Cookie,同样还有互联网Cookie,浏览器Cookie以及HTTPCookie,是用户使用浏览器后在上面储存的一段文本。Cookie可以用来作为身份证明,作为基于服务器的会话识别符,存储站点访问偏好,存储购物车内容,以及实现其他可以通过文本数据实现的功能。想要启用火狐浏览器中的Cookie功能,只需进行以下步骤。火狐浏览器4.0及更高版本01打开火狐浏览器。02单击浏览器左上角的火狐按钮。0...
Cookiesecure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
小兵qwer的专栏
08-16 8527
Cookiesecure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3058
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 3039
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookie中的Secure指的是安全性。在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置Secure,那么很有可能会被HTTPS页面拿到,从而造成重要的身份泄露。
会话Cookie设置Secure属性漏洞
最新发布
my的博客
01-15 2553
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
web安全问题扫描 ---加密会话(SSL)Cookie 中缺少 Secure 属性--node服务器解决方案-原来是Secure:true挖了坑
MrZachary_zlc的博客
12-02 2072
cookie中的Secure值得作用 : 该属性的作用是是否允许以https协议的方式传递cookie;(开启与否通过观察前后端交互的响应头中是否包含此字段即可:set-cookie); 强行解决带来的问题: 把session中配置的secure属性值直接改成true,会出现会话错误的问题,导致系统无法登陆; 出现原因分析: 你的网站站点中使用到https协议,但是你的node服务器(或java或拍黄片服务器)是通过session和cookie的方式跟踪服务端与客户端会话状态的(使用token时暂未遇到该问
XSS与HTTP-only Cookie 脚本获取JSESSIONID的方法
收集盒 Book box
05-29 2900
XSS与HTTP-only Cookie介绍: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可
java开发中替换cookie越权,在JSESSIONID cookie设置httponly
05-18
为了防止这种情况的发生,我们可以在 JSESSIONID cookie设置 httponly 属性,这样攻击者就无法通过 JavaScript 访问这个 cookie 的值。 在 Java 中,设置 httponly 属性可以通过以下方式实现: ```java Cookie ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周易不易

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值