HttpOnly的设置

最新推荐文章于 2024-05-10 11:00:15 发布
最新推荐文章于 2024-05-10 11:00:15 发布
阅读量1.3w 收藏 5
点赞数
分类专栏: 网络安全 文章标签: cookie HttpOnly
原文链接:https://blog.csdn.net/willie_chen/article/details/81363234
版权

描述:

1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 

3.如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。 

4.如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。

解决方案:

CookieHttpOnlyFilter.java

 

  1. package org._common.filter;

  2.  

  3. import java.io.IOException;

  4. import java.text.SimpleDateFormat;

  5. import java.util.Calendar;

  6. import java.util.Date;

  7. import java.util.Locale;

  8.  

  9. import javax.servlet.Filter;

  10. import javax.servlet.FilterChain;

  11. import javax.servlet.FilterConfig;

  12. import javax.servlet.ServletException;

  13. import javax.servlet.ServletRequest;

  14. import javax.servlet.ServletResponse;

  15. import javax.servlet.http.Cookie;

  16. import javax.servlet.http.HttpServletRequest;

  17. import javax.servlet.http.HttpServletResponse;

  18. /**

  19. * 解决检测到会话cookie中缺少HttpOnly属性的问题

  20. * @author kf0101

  21. *

  22. */

  23. public class CookieHttpOnlyFilter implements Filter {

  24.  

  25. public void destroy() {

  26.  

  27. }

  28.  

  29. public void doFilter(ServletRequest request, ServletResponse response,

  30. FilterChain filterChain) throws IOException, ServletException {

  31. // TODO Auto-generated method stub

  32. HttpServletRequest req = (HttpServletRequest) request;

  33. HttpServletResponse resp = (HttpServletResponse) response;

  34. Cookie[] cookies = req.getCookies();

  35. if(cookies!=null){

  36. for(Cookie cookie : cookies){

  37. String value = cookie.getValue();

  38. StringBuilder builder = new StringBuilder();

  39. builder.append("JSESSIONID=" + value + "; ");

  40. builder.append("Secure; ");

  41. builder.append("HttpOnly; ");

  42. Calendar cal = Calendar.getInstance();

  43. cal.add(Calendar.HOUR, 1);

  44. Date date = cal.getTime();

  45. Locale locale = Locale.CHINA;

  46. SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);

  47. builder.append("Expires=" + sdf.format(date));

  48. resp.setHeader("Set-Cookie", builder.toString());

  49. }

  50. filterChain.doFilter(request, response);

  51. }

  52. }

  53.  

  54. public void init(FilterConfig arg0) throws ServletException {

  55. // TODO Auto-generated method stub

  56.  

  57. }

  58. }

web.xml:

 

  1. <filter>

  2. <filter-name>cookieHttpOnlyFilter</filter-name>

  3. <filter-class>org._common.filter.CookieHttpOnlyFilter</filter-class>

  4. </filter>

  5. <filter-mapping>

  6. <filter-name>cookieHttpOnlyFilter</filter-name>

  7. <url-pattern>/*</url-pattern>

  8. </filter-mapping>

 验证方式:查看浏览器设置(HttpOnly) Set-Cookie:  HttpOnly  

一点点累积
关注
专栏目录
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
第九节 cookiehttponly设置-01
09-15
CookieHttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
cookiehttpOnly设置与使用问题
bingmoujs的博客
12-21 3809
设置一个 HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
我如何设置一个http only的cookie
m0_57236802的博客
08-15 3411
设置一个HttpOnlycookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly
漏洞解决方案-HttpOnly设置
smart的博客
08-11 7613
漏洞解决方案-HttpOnly设置漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法 漏洞解决方案-HttpOnly设置 漏洞概述 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。 攻击步骤 测试并发现一个存在XSS漏洞网站。 通过XSS漏洞,插入恶意链接:
cookie设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
当一个Cookie设置HttpOnly时,JavaScript无法通过Document.cookie API或其他方式访问到这个Cookie。这样一来,即使网页中存在XSS漏洞,恶意脚本也无法窃取到包含敏感信息的Cookie,从而降低了攻击者盗取用户身份...
详解Cookiehttponly设置与安全性
在第九节关于cookie的讲解中,主要讨论了cookiehttponly设置及其在Web安全中的重要性。首先,我们需要了解什么是cookieCookie是HTTP协议下,Web服务器为了识别用户身份、管理会话状态而在用户本地终端上存储的...
session配置secure和httpOnly
03-16
但在某些场景下,如需要使用JavaScript处理Cookie的Web应用程序,设置`HttpOnly`可能会导致功能受限。 二、配置问题及解决方法 1. 在GlassFish 2.x环境下,由于只支持Servlet 2.5,不直接支持`HttpOnly`属性。可以...
火狐浏览器怎么将cookie HttpOnly设置为true
06-12
要在火狐浏览器中将cookieHttpOnly属性设置为true,可以按照以下步骤操作: 1. 打开火狐浏览器并输入 about:config 的地址栏中,然后按下回车键。 2. 在出现的警告框中点击“我承诺”按钮,进入配置页面。 3. 在...
http-only配置
weixin_44270509的博客
10-31 2316
http-only配置Http-only Http-only Http-only 字段,就是加在 cookie 身上的一个“护身符”。浏览器存在这种机制,只要 cookie 中含有 Http-only 字段,那么任何 JavaScript 脚本都没有权限读取这条 cookie 的内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NP1cZTjC-1572...
Java 设置 httponly cookie
allway2的博客
08-02 5433
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 6756
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击(XSS)的防护。将 CookiehttpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
初见http-only
m0_55754984的博客
09-19 1258
1、什么是http-only? HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 2、这个是干什么用的?其他相关点! 大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie设置HttpOnly标志来
常用Web开发语言HttpOnly设置详解
mituan1234567的专栏
07-03 4707
http://www.2cto.com/kf/200905/38080.html by:Neeao Http://www.neeao.com 2009-05-11 ———————————– 关于HttpOnly对于防范XSS来获取 cookies信息的分析,请参考剑心同学写的:利用httponly提升应用程序安全性,这里仅把常用的一些Web开发语言的设置方法整理总结下,备
网站安全之设置HttpOnly的方法
热门推荐
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
搞了半天的HTTP-ONLY
最新发布
m0_74381444的博客
05-10 991
设置 cookie的 生命周期、 安全性、 作用域。jsessionid的说明。url重写的情况
springboot实现cookieHttpOnly设置
qq_33164327的博客
12-04 1765
Cookie设置HttpOnly属性
.NET中的Cookie设置HttpOnly,可以防止JS获取Cookie的值
龙悦儿的专栏
03-25 2197
HttpCookie myHttpCookie = new HttpCookie("LastVisit", DateTime.Now.ToString());           myHttpCookie.Name = "MyHttpCookie";         //中文编码,防止js获取的Cookie值是乱码,编码之后再解码就不会出现乱码,当然在实际中使用的时候是不需要编码的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值