springboot实现cookie的HttpOnly设置

最新推荐文章于 2024-07-17 21:38:50 发布
最新推荐文章于 2024-07-17 21:38:50 发布
阅读量1.2k 收藏
点赞数
分类专栏: 项目问题 文章标签: spring boot hive 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33164327/article/details/134783611
版权
文章讲述了在产品安全测试中发现的问题,涉及对HttpServletRequest和HttpServletResponse的Cookie属性进行设置,以增强Cookie安全性。作者提供了一个使用Spring框架实现的CookieFilter组件代码示例,用于在响应中添加HttpOnly和SameSite属性。
摘要由CSDN通过智能技术生成

最近产品进行安全测试发现安全方面问题,需要进行紧急修复需要进行cookie属性的设置特此记录!

package xxx.xxx.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CookieFilter implements Filter {
    /**
     * Called by the web container to indicate to a filter that it is being
     * placed into service. The servlet container calls the init method exactly
     * once after instantiating the filter. The init method must complete
     * successfully before the filter is asked to do any filtering work.
     * <p>
     * The web container cannot place the filter into service if the init method
     * either:
     * <ul>
     * <li>Throws a ServletException</li>
     * <li>Does not return within a time period defined by the web
     *     container</li>
     * </ul>
     *
     * @param filterConfig The configuration information associated with the
     *                     filter instance being initialised
     * @throws ServletException if the initialisation fails
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * The <code>doFilter</code> method of the Filter is called by the container
     * each time a request/response pair is passed through the chain due to a
     * client request for a resource at the end of the chain. The FilterChain
     * passed in to this method allows the Filter to pass on the request and
     * response to the next entity in the chain.
     * <p>
     * A typical implementation of this method would follow the following
     * pattern:- <br>
     * 1. Examine the request<br>
     * 2. Optionally wrap the request object with a custom implementation to
     * filter content or headers for input filtering <br>
     * 3. Optionally wrap the response object with a custom implementation to
     * filter content or headers for output filtering <br>
     * 4. a) <strong>Either</strong> invoke the next entity in the chain using
     * the FilterChain object (<code>chain.doFilter()</code>), <br>
     * 4. b) <strong>or</strong> not pass on the request/response pair to the
     * next entity in the filter chain to block the request processing<br>
     * 5. Directly set headers on the response after invocation of the next
     * entity in the filter chain.
     *
     * @param request  The request to process
     * @param response The response associated with the request
     * @param chain    Provides access to the next filter in the chain for this
     *                 filter to pass the request and response to for further
     *                 processing
     * @throws IOException      if an I/O error occurs during this filter's
     *                          processing of the request
     * @throws ServletException if the processing fails for any other reason
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        Cookie[] cookies = req.getCookies();
        if (cookies != null) {
            Cookie cookie = cookies[0];
            if (cookie != null) {
                //Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
                String value = cookie.getValue();
                StringBuilder builder = new StringBuilder();
                builder.append("JSESSIONID=" + value + "; ");
                builder.append("Path=/; ");
                builder.append("Secure; ");
                builder.append("HttpOnly; ");
                builder.append("samesite=Strict");
                resp.setHeader("Set-Cookie", builder.toString());
            }
        }
        chain.doFilter(req, resp);
    }

    /**
     * Called by the web container to indicate to a filter that it is being
     * taken out of service. This method is only called once all threads within
     * the filter's doFilter method have exited or after a timeout period has
     * passed. After the web container calls this method, it will not call the
     * doFilter method again on this instance of the filter. <br>
     * <br>
     * <p>
     * This method gives the filter an opportunity to clean up any resources
     * that are being held (for example, memory, file handles, threads) and make
     * sure that any persistent state is synchronized with the filter's current
     * state in memory.
     */
    @Override
    public void destroy() {

    }
}

实现方式非常简单增加一个过滤器在响应的 response中进行设置即可!!!! 

搬砖小弟1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置属性,以及设置属性会遇到的问题解决方法
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
Springboot配置http-Only
weiqiang915的博客
12-29 1447
springboot中配置http-only
SpringBoot中使用Cookie实现记住登录
GSON的博客
04-24 780
cookie是一种储存在用户本地终端上的数据,有时也用其复数Cookies。类型为“小型文本文件“,是某些网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。其实 Cookie 就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把 Cookie 保存起来,当下一次再访问服务器时把 Cookie 再发送给服务器。
安全开发:Spring Boot 打开 HttpOnly 和 Secure 属性
回纹勾边宝相花团
06-08 1万+
应用上线,需要修复安全问题,需要为 Cookie 设置HttpOnly” 和 “Secure” 属性HttpOnly 设置方法 配置 默认值 说明 server.servlet.session.cookie.http-only true 是否对会话 cookie 使用 "HttpOnly"cookie。 默认 D:\learn\learn-java\spring-boot-high-concurrency>curl http://localhost:8080/stuff
SpringBoot HTTP接口实战
fsd1112的博客
05-25 554
作用于形参列表上,用于将前台发送过来固定格式的数据【xml 格式或者 json等】封装为对应的 JavaBean 对象,封装时使用到的一个对象是系统默认配置的 HttpMessageConverter进行解析,然后封装到形参上。作用于方法上,@RequestParam 注解配合 @RequestMapping 一起使用,可以将请求的参数同处理方法的参数绑定在一起。使用在控制层(controller)的方法上,将方法的返回值,以特定的格式写入到response的body区域,进而将数据返回给客户端。
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全性
Iqingshuifurong的博客
10-28 4078
最近安全检测,出现浏览器漏洞HttpOnly. 简单介绍两种解决方案,及 相关知识 1)Xss攻击预防-Spring中使用拦截器配置HttpOnly 2)Xss攻击预防-tomcat配置文件中添加httponly属性 3)HTTP-only Cookie缓解XSS简介 4)SpringMVC-处理器拦截器(HandlerInterceptor)详解 一、Xss攻击预防,Spring中使...
03_springboot整合cookie
一个搬砖工人
03-03 1291
HTTP Cookie(也称为web Cookie、浏览器Cookie)是服务器存储在用户浏览器中的一小块信息。服务器在返回浏览器请求的响应时设置cookies。浏览器存储cookies,并将它们与下一个请求一起发送回同一服务器。Cookie通常用于会话管理、用户跟踪和存储用户首选。Cookies帮助服务器跨多个请求记住客户机。如果没有cookies,服务器将把每个请求都当作一个新的客户机来处理。 1 Reading HTTP Cookie Spring框架提供@CookieValue注释来获取任何http
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
总结来说,Spring Boot中的登录验证可以通过Cookie或Session实现,并利用拦截器进行拦截处理,确保只有已登录用户才能访问受保护的资源。同时,理解拦截器、过滤器和SSO的概念对于构建安全、高效的Web应用至关重要。
Session CookieHttpOnly和secure属性
10-29
如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
sso-use-cookie单点登录
01-18
在这个项目中,我们利用SpringBoot框架来实现基于Cookie的SSO。下面将详细解释这个项目的实现原理、流程以及涉及的关键技术。 一、SpringBoot与SSO结合 SpringBoot以其简洁的配置和强大的功能深受开发者喜爱,是...
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 1万+
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
Springboot2.6以下版本对cookie的samesite设置的通用方法
aol_aog的专栏
12-23 1653
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题。
如何在Spring Boot中使用Cookies
2401_85117536的博客
06-24 424
按照上面的过程,4个月的时间刚刚好。当然Java的体系是很庞大的,还有很多更高级的技能需要掌握,但不要着急,这些完全可以放到以后工作中边用别学。学习编程就是一个由混沌到有序的过程,所以你在学习过程中,如果一时碰到理解不了的知识点,大可不必沮丧,更不要气馁,这都是正常的不能再正常的事情了,不过是“人同此心,心同此理”的暂时而已。道路是曲折的,前途是光明的!
springboot 关闭http网络功能
lejian的专栏
02-14 2304
环境:操作系统window10,gradle 版本:gradle-6.8.3,IDE:IntelliJ IDEA 2019.3.4 x64,springboot版本2.5.5 在实际运用开发中,我们有时候只需要使用spingboot的配置化以及注解特性,并不需要它的http网络。可以在springboot核心配置中去除该功能,springboot支持两种核心配置文件类型,.yml和 .properties,这两种文件只是书写格式不同而已,没有孰优孰劣,按照个人喜好自己定义就是。...
如何利用response.addHeader()方法设置cookie
热门推荐
shandalue的专栏
07-02 2万+
cookie设置HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
spring boot】初学者项目快速练手
最新发布
m0_67357141的博客
07-17 1138
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
springboot设置cookiehttponly属性
04-30
Spring Boot是一种快速开发框架,可以让Wetbsite或者应用程序更加高效地设置Cookie设置Cookie时,可以追加httponlyHTTPOnly属性HTTPOnly属性是一种保护Web应用程序的最佳做法。它可以确保Web浏览器只能在HTTP协议中查看和操作Cookie,而不允许JavaScript或其他脚本对它们进行访问,从而防止跨站脚本攻击(XSS)。 在Spring Boot中使用CookieHttpOnly工具类可以在设置Cookie时包含httponly属性。可以使用以下代码设置CookieHttpOnly属性: ```java Cookie cookie = new Cookie("name", "value"); cookie.setHttpOnly(true); ``` 当设置HttpOnly属性后,即使黑客已经使用XSS攻击将恶意脚本注入Web页面中,Cookie也将无法被JavaScript访问,从而阻止恶意攻击者从Cookie中获取您的敏感信息。因此,使用Spring Boot时,应该始终使用httponly属性来保护您的Web应用程序和数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值