cookie中存储的值设置httponly和secure

最新推荐文章于 2024-04-14 18:41:48 发布
最新推荐文章于 2024-04-14 18:41:48 发布
阅读量5.8k 收藏 6
点赞数
分类专栏: java 文章标签: cookie-httponly cookie-secure cookie jsessionid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28600087/article/details/87995925
版权

最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。

首先什么是httponly和secure呢?是cookie中的两个属性

当设置了httponly为true时,通过js脚本是无法获取到cookie的信息的。防止XSS攻击。

secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。

设置sessionid, 在浏览器可以通过F12查看当前服务页面cookie信息,可以看到jsessionid:

由图可以看到最后的几个指标中有HTTP,代表了httponly属性,当设置了httponly时,就会有对勾出现。还有Secure的值,显示当前是否配置了Secure的属性要求。

配置jsessionid的httponly,secure

这个可以直接配置项目中的web.xml进行配置,配置如下,添加session-config标签

	<session-config>
		<session-timeout>120</session-timeout>
		<cookie-config>
			<http-only>false</http-only>
			<secure>false</secure>
		</cookie-config>
	</session-config>

jsessionid的配置主要跟tomcat有关,tomcat6httponly默认是关闭的,tomcat7默认是启用的,需要配置content.xml来解决了;

当然其他放进cookie中的信息也可以配置这两个属性值

项目一:cookie是使用了spring框架的cookie组件org.springframework.web.util.CookieGenerator,集成了CookieGenerator类。由于是老项目,通过xml方式可以注入参数信息到bean中。

CookieGenerator提供了isCookieHttpOnly方法和isCookieSecure方法,做是否要设置这两个值得判断方法,当然默认值都是false,需要注入才可以,通过xml引用properties中得配置信息,即可实现在properties中控制这两个值的使用。

项目二:cookie直接用的javax.servlet.http.Cookie。这个可以取properties中的设置的两个属性的开关,判断是否需要设置,直接set这两个属性就ok了。

 

 

周末吃鱼
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置属性,以及设置属性会遇到的问题解决方法
第九节 cookiehttponly设置-01
09-15
在上面的代码设置 secure 参数为 true,可以防止恶意脚本攻击。但是,这样做也可能会导致某些页面不能用。 总结 Cookie 是一种客户端存储机制,用于存储用户信息。Cookie 可以是临时的,也可以是持续的。...
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6445
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机,尤其是在网络应用,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
cookie安全之HTTP -only
最新发布
Whatsoever1的博客
04-14 538
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini设置 session.cookie_httponly = 其为1或者TRUE,来开启全局的CookieHttpOnly属性
关于HTTP与HTTPScookie
weixin_44258947的博客
01-13 452
关于HTTP与HTTPScookie
模拟https请求获取cookie
qq_36220273的博客
01-09 2459
目录 前言 正文 HttpPost发送https请求方式 1.引入依赖包 2.重写HttpClient 3.发送请求默认带参,不传参为null就行 4.附上cookie获取代码 HttpsURLConnection发送https请求方式 1.重写X509TrustManager 2.发送https请求 3.附上cookie获取方法 前言 最近项目要求访问其他设...
HTTP、HTTPS、请求、返回、HTTP响应码、cookie、编码
m0_59856804的博客
10-24 1550
request请求数据包格式、response返回数据包数据格式、HTTP、HTTPS、请求、返回、HTTP响应码、cookie、编码
接口测试丨http与https get、post session、cookie、token
weixin_47648853的博客
10-08 1295
HTTP 的 method 字段不同POST 可以附加 body,可以支持 form、json、xml、binary 等各种数据格式行业通用的规范无状态变化的建议使用 GET 请求数据的写入与状态修改建议用 POST传送数据量不同安全性不同Broker:消息服务器,提供消息核心服务Producer:消息生产者,业务的发起方,负责生产消息传输给 broker。Consumer:消息消费者,业务的处理方,负责从 broker 获取消息并进行业务逻辑处理。读写性能优异。
java web使用cookie记住用户的账号和密码
08-31
- **同源策略**:确保Cookie的`Secure`属性设置为`true`,只在HTTPS连接下发送,且`HttpOnly`属性设置为`true`,防止JavaScript脚本访问Cookie,减少XSS攻击的风险。 6. **其他优化**: 为了提高用户体验,还可以...
在PHP设置使用、删除Cookie的解决方法
10-27
- `$httponly`:布尔,如果设置为true,则禁止JavaScript访问该Cookie。 例如: ```php setcookie("MyCookie", "Value of MyCookie"); setcookie("WithExpire", "Expire in 1 hour", time()+3600); setcookie(...
cookie在javascript使用技巧以及隐私在服务器端的设置
10-27
在服务器端设置Cookie并控制其安全性,可以通过设置`secure`和`httpOnly`标志。`secure`标志使Cookie只在HTTPS连接传输,而`httpOnly`则防止JavaScript通过`document.cookie`访问Cookie,增加抵御XSS攻击的安全性...
java 网络请求 支持https 记录cookie并带入请求
s13488941815的专栏
02-13 2261
之前遇到这样的需求,弄了半天才成功,记录一下 定义变量 public static String cookieVal="";  public static String firstCookie="";  public static String allcookie=""; 然后是请求方法,我只弄了get请求 public static String Get(String url_ge...
Cookie注入漏洞:可绕过HTTPS并窃取私人信息
weixin_34194551的博客
08-01 593
近期,一个存在于主要浏览器的Web cookie的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受间人攻击。此外,大部分Web网站和流行的开源应用程序可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、国建设银行、国银联、京东、phpMyAdmin以及MediaWiki。 美国计算机紧急响...
Java 项目 Tomcat8.x去除默认设置httpOnly
热门推荐
yuzfengxu的博客
02-21 1万+
1.查看tomcat conf/context.xml文件并修改:&lt;Context useHttpOnly="false"&gt;2.修改项目web.xml&lt;session-config&gt; &lt;session-timeout&gt;20&lt;/session-timeout&gt; &lt;cookie-config&gt; &lt;http-only&gt;fals
初见http-only
m0_55754984的博客
09-19 1219
1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie设置HttpOnly标志来
怎样获取和使用httponly=1的Cookie
08-15 6646
1、传统方法不能获取到完整的Cookie 在我们访问网站时,网站把用户数据保存在CookieCookie一般存放在用户浏览器的文件夹,具体存储方式,不同的浏览器不尽相同。怎样获得网站Cookie内容呢,只需要执行javascript脚本"document.cookie;"。这是大多数人的做法,发现它只能获取部份cookie。 2、httponly是什么Cookie 对比document.cookie和提交数据的http协议头,发现http协议头多出几项内容来,比如“BD...
Cookie 相关HttpOnly属性的重要性
zy103118的博客
04-26 3788
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值