JAVA设置HttpOnly Cookies

最新推荐文章于 2024-03-06 10:05:07 发布
最新推荐文章于 2024-03-06 10:05:07 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: Java
Cookies是一个cookie安全行的解决方案。

在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。

 

但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如果需要设置HttpOnly属性需要自己来处理。

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;

/**
 * Cookie工具类
 */
public class CookieUtil {

    /**
     * 设置HttpOnly Cookie
     * @param response HTTP响应
     * @param cookie Cookie对象
     * @param isHTTPOnly 是否为HttpOnly
     */
    public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) {
        String name = cookie.getName();//Cookie名称
        String value = cookie.getValue();//Cookie值
        int maxAge = cookie.getMaxAge();//最大生存时间(毫秒,0代表删除,-1代表与浏览器会话一致)
        String path = cookie.getPath();//路径
        String domain = cookie.getDomain();//
        boolean isSecure = cookie.getSecure();//是否为安全协议信息 

        StringBuilder buffer = new StringBuilder();

        buffer.append(name).append("=").append(value).append(";");

        if (maxAge == 0) {
            buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;");
        } else if (maxAge > 0) {
            buffer.append("Max-Age=").append(maxAge).append(";");
        }

        if (domain != null) {
            buffer.append("domain=").append(domain).append(";");
        }

        if (path != null) {
            buffer.append("path=").append(path).append(";");
        }

        if (isSecure) {
            buffer.append("secure;");
        }

        if (isHttpOnly) {
            buffer.append("HTTPOnly;");
        }

        response.addHeader("Set-Cookie", buffer.toString());
    }

}

 

值得一提的是,Java EE 6.0 中 Cookie已经可以设置HttpOnly了,所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7),可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly: 

另外使用 Session 的话 jsessionid 这个 Cookie 可通过在 Context 中使用 useHttpOnly 配置来启用 HttpOnly,例如:

<Context path="" docBase="D:/WORKDIR/oschina/webapp"
    reloadable="false" useHttpOnly="true"/>

也可以在 web.xml 配置如下: 

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
<session-config>



你好丶明天
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Java 开发 | 安全篇 设置Cookie 的HttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookie的HttpOnly属性问题 Cookie的HttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问Cookie、HttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3016
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
Java Web基础学习——Cookie&&Session
08-07 677
本文参与「少数派读书笔记征文活动」https://sspai.com/post/45653 参考文章:https://blog.csdn.net/jiangwei0910410003/article/details/23337043 遇到的问题: 1、jstl包的导入(Idea 2018.02):首先我通过File-&gt;Project Structure-&gt;Libraries直接添...
关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
Cookie属性HttpOnly引起的漏洞解决方案
Sveinn的博客
03-06 314
项目扫描的时候出一个漏洞,Cookie未配置HttpOnly标志。那HttpOnly是什么呢?Httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。在web应用中、JSESSIONID (Cookie)没有设置Httponly属性可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。这里我是写一个拦截器,实现GlobalFilter,我们可以在拦截器中向Cookie中添加HttpOnly属性。
session配置secure和httpOnly
03-16
但在某些场景下,如需要使用JavaScript处理Cookie的Web应用程序,设置`HttpOnly`可能会导致功能受限。 二、配置问题及解决方法 1. 在GlassFish 2.x环境下,由于只支持Servlet 2.5,不直接支持`HttpOnly`属性。可以...
httpwebreqeust读取httponly的cookie方法
08-31
然而,有些Cookie被标记为`HttpOnly`,这意味着它们不能通过JavaScript等客户端脚本语言访问,以增加安全性,防止XSS(跨站脚本攻击)对Cookie的窃取。但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,...
第九节 cookie的httponly设置-01
09-15
Cookie 的 HttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
设置cookie的httponly属性
tz_gx的专栏
10-31 2020
方法1: tomcat的conf下的server.xml文件中,添加useHttpOnly="true" 方法2: tomcat的conf下的context.xml文件中,添加useHttpOnly="true"     WEB-INF/web.xml 检查设置成功
Java 设置 httponly cookie
allway2的博客
08-02 5208
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie中设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
小兵qwer的专栏
08-16 8331
Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1581
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全性
Iqingshuifurong的博客
10-28 3984
最近安全检测,出现浏览器漏洞HttpOnly. 简单介绍两种解决方案,及 相关知识 1)Xss攻击预防-Spring中使用拦截器配置HttpOnly 2)Xss攻击预防-tomcat配置文件中添加httponly属性 3)HTTP-only Cookie缓解XSS简介 4)SpringMVC-处理器拦截器(HandlerInterceptor)详解 一、Xss攻击预防,Spring中使...
Java——Cookie的使用
虚知
07-14 2482
本篇内容介绍cookie的相关知识及使用`什么是 Cookie?针对不同用户,做出不同的响应。,这就是Cookie的原理。是浏览器储存在用户的机器上的(可见免用户名登录) 1、 Cookie駙译过来是饼干的意思。 2、 Cookie是服务器通知客户端保存键値对的一种技术。 3、客戶端有了 Cookie后,每次请求都发送给服务器。 4,每个 Cookie的大小不能超过4kbCookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cooki
JavaWeb】Cookie
景风眠的博客
03-11 1081
Cookie 是服务器在客户端保存用户的信息,比如登录名,浏览历史等, 就可以以 cookie 方式保存。Cookie 信息就像是小甜饼(cookie)一样,数据量并不大,服务器端在需要的时候可以从客户端浏览器读取,可以通过图来理解。
Cookie中HttpOnly的使用方式以及用途
热门推荐
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
WEB跨站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 7896
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
java 设置httponly
最新发布
05-29
Java设置HTTPOnly可以通过以下方式实现: ```java Cookie cookie = new Cookie("name", "value"); cookie.setHttpOnly(true); response.addCookie(cookie); ``` 在上面的代码中,我们创建一个名为"name",值为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值