Cookie设置HttpOnly,Secure,Expire属性

最新推荐文章于 2023-10-22 23:33:08 发布
最新推荐文章于 2023-10-22 23:33:08 发布
阅读量5.2k 收藏 2
点赞数 1
分类专栏: java

原文地址: https://blog.csdn.net/a19881029/article/details/27536917

Tomcat版本为6.0.39,JDK版本为1.6update45

在Web工程上增加一个Filter对Cookie进行处理

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;
 
	    Cookie[] cookies = req.getCookies();
 
	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	Calendar cal = Calendar.getInstance();
	            	cal.add(Calendar.HOUR, 1);
	            	Date date = cal.getTime();
	            	Locale locale = Locale.CHINA;
	            	SimpleDateFormat sdf = 
	            			new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
	            	builder.append("Expires=" + sdf.format(date));
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}
 
	public void destroy() {
	}
 
	public void init(FilterConfig arg0) throws ServletException {
	}
}

web.xml:

    <filter>
    	<filter-name>cookieFilter</filter-name>
    	<filter-class>com.sean.CookieFilter</filter-class>
    </filter>
    
    <filter-mapping>
    	<filter-name>cookieFilter</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>

FireFox:

Chrome:

IE:

ebg_coder
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置属性,以及设置属性会遇到的问题解决方法
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
vue.js php登录验证,reactjs – 使用基于HttpOnly cookie的单页应用程序进行身份验证和会话管理...
weixin_35482237的博客
03-12 333
几天来,我一直在为单页面应用程序寻找安全的身份验证和会话管理机制。从有关SPA和身份验证的众多教程和博客文章来看,将JWT存储在localStorage或常规cookie中似乎是最常用的方法,但it’s simply not a good idea to use JWTs for sessions因此它不适用于此应用程序。要求>登录应该是可以撤销的。例如,如果在用户的帐户上检测到可疑活动,则...
如何将cookiehttponly属性设置为true?(预防XSS攻击)
刘桂香263的博客
06-08 5281
cookie设置HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击。
Cookie中的HttpOnly
一叶知秋
12-30 6264
如果在cookie设置HttpOnly属性,那么通过js脚本将无法读取或修改cookie信息。 cookie.setHttpOnly(httpOnly);  
前端cookie设置httpOnlysecure拿不到,换成localstorage+加密方式
寬真
10-14 2769
token用接口获取,然后设置cookie中,以后每个接口调用都要获取这个cookie并且设置在接口的请求头部中,由于安全检查,要添加httpOnly,和secure,但导致js获取不到cookie,从而导致调用失败,所以必须换种方式换成其他方式,我换成的localstorage+加密的方式。httpOnly:防止xss攻击,js等非http,https协议方式拿不到cookie,secure:https中才能传输。
vue实践,全副武装你的前端项目
weixin_44172536的博客
04-09 324
接口模块处理 1.1 axios二次封装 这里封装的依据是后台传的JWT,已封装好的请跳过。 import axios from ‘axios’ import router from ‘…/router’ import {MessageBox, Message} from ‘element-ui’ let loginUrl = ‘/login’ // 根据环境切换接口地址 axios.defa...
vue-cookies使用方法,vue中使用获取cookie
热门推荐
i_am_a_div的博客
10-15 3万+
1.安装vue-cookies npm install vue-cookies -S 2.在main.js引入 import VueCookies from "vue-cookies"; Vue.use(VueCookies); 如图: 3.在vue组件中使用(如果存入的是对象,需要先转换为json字符串) 设置cookies this.$cookies.set('fileInfoId', to.query.fileInfoId) 如果是在某个js,例如router.js下使用,如下引入使用即可
vue3获取不到cookie,但浏览器有值,且HttpOnly为true
最新发布
Peach_crisp的博客
10-22 496
在后端设置了username的cookie值,结果在vue里输出this.$cookies.iskey('username')为false。最后是Path的问题,具体原因望大佬来敲打一下我。
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie详解(含vue-cookie
嘿嘿
10-16 1491
今天看到一篇cookie的文章,写的特别详细,感谢晚晴幽草轩的分享,原文链接http://mp.weixin.qq.com/s/NXrH7R8y2Dqxs9Ekm0u33w 原文如下,记录到此供以后查阅并希望好文章能被更多需要的人看到 背景 在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookiecookie规范定义了服务器和客户端交互信息的格式、生存期、使用范围、安全性。 在JavaScript中可以通过 document.cookie 来读..
cookiehttponly问题
左直拳的马桶_日用桶
06-01 1041
更奇怪的是,进一步调试,发现别的cookie都能顺利更新,唯独这个token不行。这代表该cookie无法被javascript操纵,既不能读取,更不能更改或删除,所以就无法被前端脚本所操作,只能是浏览器自己玩。cookie里的token还是旧的,这样的话,到后台请求资源,带上的token还是旧的,系统认为没有登录,于是退出,又回到了登录界面。鉴于“token”这个名字,差不多等于系统保留字,猜测是后台调用了其他系统返回所导致,覆盖了我们自己那个。于是将“token”改为“mytoken”,以进一步观察。
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7830
Cookie 中有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
Cookie设置HttpOnly
while(life)++;
04-02 3219
公司处理安全缺陷,解决跨站脚本攻击, 防止跨站脚本漏洞进行Cookie劫持攻击 Filter类 import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Locale; import javax....
前端框架Vue----内置指令&自定义指令
weixin_45228198的博客
12-16 1092
目录内置指令获取浏览器Cookie 内置指令 v-text = “attr”;使用attr的内容替换标签的内容,相当于原生js的innerText属性 <body> <div id="container"> <span>你好,{{ username }}</span><br> <span v-text="age">你好,{{ username }}</span> </di
关于vue的几点认识
用博客记录成长的点滴
01-06 537
微软为了客户端防止攻击,设置了http only属性,一旦该属性值为true,是不允许客户端js获取cookie的值的;
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
cookiesecure、httponly属性设置
conkeyn的专栏
03-04 1798
转载自:http://www.cnblogs.com/alanzyy/archive/2011/10/14/2212484.html 一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体...
php 设置cookie
07-31
在PHP中,可以使用setcookie函数来设置cookie。该函数的语法如下: setcookie(name, value, expire, path, domain, secure, httponly) 其中,name是cookie的名称,value是cookie的值,expire是cookie的过期时间,path是cookie的有效路径,domain是cookie的有效域名,secure表示是否仅通过安全的HTTPS连接传输cookiehttponly表示是否仅通过HTTP协议访问cookie。 例如,可以使用以下代码设置一个名为cookie_name的cookie,值为cookie_value,有效期为1小时,有效路径为根目录,有效域名为当前服务器域名,通过HTTPS连接传输,只能通过HTTP协议访问: setcookie("cookie_name", "cookie_value", time() + 3600, "/", $_SERVER['SERVER_NAME'], isset($_SERVER["HTTPS"]), true); [2] 另外,还可以使用header函数来设置cookie。例如,可以使用以下代码设置一个名为cookie_name1的cookie,值为"浏览器关闭失效",并且在浏览器关闭后失效: header("Set-Cookie:cookie_name1_cp=" . urlencode("浏览器关闭失效")); setcookie("cookie_name1", "浏览器关闭失效"); [3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值