加密会话(SSL)Cookie中缺少Secure属性解决方案

最新推荐文章于 2024-06-14 16:04:46 发布
最新推荐文章于 2024-06-14 16:04:46 发布
阅读量1.6w 收藏 9
点赞数 3
分类专栏: 技术解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36956015/article/details/103821526
版权 
  系统进行漏洞扫描时,出现“加密会话(SSL)Cookie中缺少Secure属性”问题,如下图:

在这里插入图片描述解决办法:
1)先配置请求到服务的协议(nginx到服务)schema为https;
2)添加filter设置,如下:

 @Override
 public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
		throws IOException, ServletException {
	LogFactory.info("====> LoginCookieSecureFilter doFilter...");
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) resp;
	
	String scheme = request.getScheme();
	LogFactory.info("====> schema is: " + scheme);
	if(!StringUtils.isEmpty(scheme) && HTTPS.equalsIgnoreCase(scheme)) {
		response.setHeader("Set-Cookie", "JSESSIONID=" + request.
最低0.47元/天 解锁文章
平凡人物
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
加密会话(ssl)cookie 缺少 secure 属性_如何在Spring Boot使用Cookie?
weixin_34413579的博客
01-22 2245
HTTP Cookie(也称为 Web cookie或 浏览器cookie)是服务器在用户浏览器存储的一小段信息。服务器在返回浏览器发出的请求的响应时设置cookie。浏览器存储cookie并将其与下一个请求一起发送回同一服务器。Cookie通常用于会话管理,用户跟踪和存储用户首选项。Cookie可帮助服务器在多个请求记住客户端。如果没有cookie,服务器会将每个请求视为新客户端。在本文,...
加密会话(ssl)cookie 缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 937
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Web应用安全测试-防护功能缺失
最新发布
06-14 1290
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
weixin_42249908的博客
05-31 2275
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6037
近期 Appscan扫描出漏洞 加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
【安全问题】加密会话SSLCookie 缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
cookiesecure属性详解
09-03
当服务器通过Set-Cookie响应头设置一个Cookie时,如果加上`secure`属性,浏览器将会遵循以下规则: 1. **仅在HTTPS发送**:当用户通过HTTPS与服务器建立安全连接时,浏览器才会将包含`secure`属性Cookie发送给...
Django框架会话技术实例分析【Cookie与Session】
09-19
主要介绍了Django框架会话技术,结合实例形式分析了Django框架Cookie与Session相关使用技巧与注意事项,需要的朋友可以参考下
Python cookie的保存与读取、SSL讲解
09-17
在Python编程Cookie是用于在客户端和服务器之间传递状态信息的一种机制,常用于用户身份验证和保持会话。本文将详细介绍如何在Python保存和读取Cookie,以及讲解SSLSecure Socket Layer)协议的基本概念。 ...
XX平台安全扫描问题解决方案.docx
09-23
为了保护用户数据,应配置SSLSecure Sockets Layer)以实现数据加密。在`web.xml`加入如下配置,强制要求所有请求通过安全连接(HTTPS)进行: ```xml <web-resource-name>SSL <url-pattern>/* ...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 3034
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
加密会话SSLCookie 缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
配置类安全问题学习小结
dayouzi的博客
09-06 6752
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2028
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
IBM AppScan 安全扫描:加密会话SSLCookie 缺少 Secure 属性 处理办法
崔向阳@李晓的博客
12-06 2895
一问题描述: IBM Security AppScan Standard给出系统安全报告: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://blog.csdn.net/u013310119/article/details/80182548 2.修改 response.set...
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
enjoy.day
02-09 3163
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
AppScan漏洞风险处理
qq_32590535的博客
06-19 2713
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
nginx修复漏洞
Elaina_fang✨✨✨的博客
10-26 4530
【代码】nginx修复漏洞。
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
在nginx加密会话sslcookie缺少secure属性secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值