防止服务端产生的cookie被客户端的cookie替换掉

最新推荐文章于 2024-05-16 09:24:58 发布
最新推荐文章于 2024-05-16 09:24:58 发布
阅读量4k 收藏 4
点赞数
分类专栏: JavaScript Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq592304796/article/details/52887836
版权

今天碰到一个问题

服务端产生的cookie被客户端的cookie替换掉了

解决办法:

把Cookie的HttpOnly这个属性设置为true

下面是两种添加Cookie的方法

Cookie类

	/**
	 * 根据部署路径,将cookie保存在根目录。
	 * 
	 * @param request
	 * @param response
	 * @param name cookie名
	 * @param value	cookie值
	 * @param expiry //最大生存时间(秒,0代表删除,-1代表与浏览器会话一致)
	 * @param domain 域
	 * @param path 路径
	 * @param secure 是否为安全协议信息
	 * @param isHttpOnly 是否为HttpOnly(如果未设置,可以被客户端的cookie替换)
	 * @param comment 注释
	 * @return
	 */
	public static Cookie addCookie(HttpServletRequest request, HttpServletResponse response, String name, 
			String value, Integer expiry, String domain, String path, Boolean secure, Boolean isHttpOnly, String comment) {
		Cookie cookie = new Cookie(name, value);
		if (expiry != null) {
			cookie.setMaxAge(expiry);
		}
		if (StringUtils.isNotBlank(domain)) {
			cookie.setDomain(domain);
		}
		if(secure != null){
			cookie.setSecure(secure);
		}
		if(isHttpOnly != null){
			cookie.setHttpOnly(isHttpOnly);
		}
		if(StringUtils.isNotEmpty(comment)){
			cookie.setComment(comment);
		}
		cookie.setPath(path);
		response.addCookie(cookie);
		return cookie;
	}

response.addHeader() 

	/**
	 * 具有SameSite属性
	 * @param request
	 * @param response
	 * @param name
	 * @param value
	 * @param expiry
	 * @param domain
	 * @param path
	 * @param secure
	 * @param isHttpOnly
	 * @param sameSite
	 * @param comment
	 */
	public static void addCookie(HttpServletRequest request, HttpServletResponse response, String name, 
			String value, Integer expiry, String domain, String path, Boolean secure, Boolean isHttpOnly, String sameSite, String comment) {
		StringBuilder buffer = new StringBuilder();
        buffer.append(name).append("=").append(value).append(";");
        if(expiry != null){
        	/*
        	 * Fri Oct 21 08:36:45 UTC 2016
        	 * Cookie expires 时间格式
        	 */
         	String expires = DateUtils.formatToString(DateFormat.EEE__MMM__dd__HH_mm_ss__z__yyyy, DateUtils.dateAdd(new Date(), expiry, Calendar.SECOND), Locale.US, TimeZone.getTimeZone("UTC"));
        	buffer.append("Expires=").append(expires).append(";");
    		/* 
    		 * IE中不支持这个属性
    		 * buffer.append("Max-Age=").append(expiry).append(";");
    		 */
        }
        if (domain != null) {
            buffer.append("domain=").append(domain).append(";");
        }
        if (path != null) {
            buffer.append("path=").append(path).append(";");
        }
        if (secure != null && secure) {
            buffer.append("secure;");
        }
        if (isHttpOnly != null && isHttpOnly) {
            buffer.append("HttpOnly;");
        }
        if(StringUtils.isNotEmpty(sameSite)){
        	buffer.append("SameSite=").append(sameSite).append(";");
        }
        response.addHeader("Set-Cookie", buffer.toString());
	}


你好丶明天
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java伪造cookie登录_Cookie防伪造防修改
weixin_30423065的博客
02-25 744
主要防止非法用户修改cookie信息,以及cookie的超时时间传统cookie存储,Cookie(name, value),value很容易就被篡改。防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime)signToken :签名密钥 由md5(value...
Cookie或将被替换!Chrome工程师提议新型HTTP状态管理协议
weixin_45583158的博客
08-29 184
问题Cookie允许无状态的HTTP协议支持有状态会话,在web上,我们依靠Cookie实现了很多有趣的功能。即便如此,Cookie依然还是有很多问题:使用起来不够安全,...
Cookie有哪些安全隐患,如何防范?
最新发布
长风破浪会有时的博客
05-16 388
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
用客户的HTTP请求头的加密串来替换cookie,实现免注册跟踪用户访问记录
06-18 215
用客户的HTTP请求头的加密串来替换cookie,实现免注册跟踪用户访问记录 1
cookie
wang_gongzi的博客
09-17 7853
HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出http请求时会默认携带的一段文本片段。它可以用来做用户认证,服务器校验等通过文本数据可以处理的问题。 Cookie不是软件,所以它不能被携带病毒,不能执行恶意脚本,不能在用户主机上安装恶意软件。但它们可以被间谍软件用来跟踪用户的浏览行为。所以近年来,已经...
cookie的删除与替换
DeathandBreath的博客
10-23 5507
cookie的属性主要有几个: name: cookie的名称,一旦定下来,就无法改变 value:cookie的值,该值会在接下来的请求被发至服务器中,cookie的值被储存在名为Cookie的HTTP消息头中,并且只含cookie的值,其余都被去除 expire:有效期选项 domain:指示cookie发送的域名 path:cookie的使用路径 secure:安全 当输入一个
通过修改Cookie登录后台
极光时流
03-17 5237
如何通过已存在的Cookie,进入博客园后台,我用IE浏览器和Chrome浏览器来测试! 首先我们通过IE浏览器拿到我们登入博客园后的Cookie,通过IECookiesview插件可以查看到IE浏览器下所有的Cookie信息,然后我们找到cnblogs.com站点下的Cookie,然后复制下.CNBlogsCookie和key和value值,如图所示! 众所周知,cookies属于隐私数据,不...
易语言-cookie转openid例子
06-25
然后,根据OpenID的规范,我们需要将从cookie中提取出的信息(通常是某种访问令牌)作为参数,发送一个认证请求到OpenID提供者的服务端。这可能涉及到构建一个OAuth请求,或者使用特定的OpenID Connect协议步骤。在...
用okhttp注册服务端
05-03
这部分通常涉及更多细节,如认证机制(如基于令牌的OAuth)、会话管理(如使用Cookie或Session)、以及安全措施(如防止SQL注入、XSS攻击等)。 总结,本篇内容涵盖了使用OkHttp构建服务端并处理注册请求的基本步骤...
初学SpringSession讲义大全.docx
08-14
2. 使用 URL 重写:如果客户端的浏览器禁用了 Cookie,可以使用 URL 重写的技术来进行 session 会话跟踪,即每次 HTTP 交互,URL 后面都会被附加上一个诸如 sessionId=xxxxx 这样的参数,服务端据此来识别客户端是谁...
bisquit:用于构建具有服务器端渲染和逻辑的交互式 UI 的极简 JavaScript 库
05-29
后端处理事件,并告诉 bisquit 做什么:用服务器端呈现的代码片段替换 DOM 的某些部分,或者调用客户端事件或触发另一个组件上的事件。 任何编程语言都可以在后端使用。 它比您想象的更容易使用。 继续阅读。 要求...
html替换cookie,delphi idHTTP最简洁的修改和取得Cookie例子
weixin_32661683的博客
06-29 276
procedure TForm1.Button1Click(Sender: TObject);varHTTP: TidHTTP;html, s: string;i: integer;beginHTTP := TidHTTP.Create(nil);tryHTTP.HandleRedirects := True;HTTP.AllowCookies := True;HTTP.Request.Custo...
tryhackme圣诞挑战2021-Advent of Cyber 3-day2-越权漏洞,修改cookie
qq_43200143的博客
12-05 3382
背景 McSkidy需要检查其他员工是否被入侵了,但是员工的信息被黑了,你能修补回来然后看看最好的圣诞公司里面还有哪些团队受到影响了吗? 开始学习! HTTPS HTTP协议是网站常用的协议,常用的请求方法有get和post get一般用于请求数据 post是发送数据 GET 请求包 GET / HTTP/1.1Host: tryhackme.com User-Agent: Mozilla/5.0 Firefox/87.0 Referer: https://tryhackme.com/ 当服务器收到请求包
原生js操作处理cookie
qq_40957216的博客
07-29 286
1、增加或者修改cookie(只要键名相同,cookie会覆盖原来的值达到修改的效果) var Days = 1; var exp = new Date(); exp.setTime(exp.getTime() + Days*24*60*60 * 1000);//时分秒,cookie过期时间 document.cookie = "Name" + "=" + escape(153) + ";expires=" + exp.toGMTString();//"N
越权漏洞与逻辑漏洞描述
vvoennvv的博客
11-10 1271
一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。逻辑漏洞以思维的方式进行探测,即发现开发中可能忽略的细枝末节或者说是考虑不周全的问题,通过这些问题达到利用漏洞的方式进行突破。
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1410
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
越权漏洞
weixin_45634365的博客
03-29 887
一、越权漏洞简介 越权漏洞是一种很常见的逻辑安全漏洞,是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权操作(垂直越权)。 水平越权: 相同权限下不同的用户可以互相访问。 水平越权的测试方法,主要是看能否通过用户A的操作影响到用户B。 垂直越权: 向上操作越权:使用权限低的用户可以访问到权限较高的用户,或者操作高权限的东西。 向下操作越权:高
服务端能拉到客户端cookies吗
07-15
服务端无法直接获取客户端cookies。Cookies 是存储在客户端(浏览器)上的数据,用于跟踪用户会话和存储用户信息。当客户端发送请求时,会将相应的 cookies 信息附加在请求头中发送给服务端服务端可以通过读取请求头中的 cookies 字段来获取客户端发送的 cookies 数据。 服务端可以通过设置响应头中的 Set-Cookie 字段来向客户端发送 cookies。客户端收到响应后会将 cookies 存储在本地,并在后续的请求中自动将 cookies 附加到请求头中发送给服务端。 需要注意的是,cookies 存储在客户端服务端无法直接访问和修改客户端上的 cookies。服务端只能通过与客户端的交互,通过设置响应头中的 Set-Cookie 字段来修改客户端上的 cookies。 希望能解答您的疑问!如果有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值