Cookie(Secure和HttpOnly属性) JSESSIONID 刷新

最新推荐文章于 2023-06-26 15:14:05 发布
最新推荐文章于 2023-06-26 15:14:05 发布
阅读量4k 收藏 3
点赞数 1
分类专栏: Cookie 文章标签: Cookie  JSESSIONID 
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41712834/article/details/103819765
版权

目录

一:Cookie(Secure和HttpOnly属性)

二:JSESSIONID是什么

三: JSESSIONID 刷新

一:Cookie(Secure和HttpOnly属性)

 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=truecookie不能被js获取到,无法用document.cookie打出cookie的内容

    Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。

    下图所示:Secure和HttpOnly 勾选后,代表  =true

二:JSESSIONID是什么

  老实说一开始看到这个有点懵,写Java这么久没看过这东西。

  首先,JSESSIONID是一个Cookie,Servlet容器(tomcat,jetty)用来记录用户session。

  什么时候种下JSESSIONID

   创建会话时,即调用request.getSession()的时候,关于getSession就不说了。补充几点是,访问html是不会创建session的,       JSP页面默认是会创建session的,可以在JSP页面里面关掉自动创建session

三: JSESSIONID 刷新

  在注销登录,登录超时添加:

//HttpServletRequest request
HttpSession session = request.getSession();
session.invalidate();

    session.invalidate()是将session设置为失效,一般在退出时使用,但要注意的是:session失效的同时 浏览器会立即创建一个新的session  ,JSESSIONID 只是tomcat中对session id的叫法,在其它容器里面,不一定就是叫JSESSIONID

    session.invalidate()执行此代码时 JSESSIONID 会失效,浏览器会立即创建一个新的JSESSIONID ,JSESSIONID 刷新

参考:JSESSIONID:https://www.jianshu.com/p/f2e5db637ed4

           Cookie:https://www.cnblogs.com/diligenceday/p/10885868.html

ps :有什么不清楚的可以评论哦。

     才疏学浅 ,请多指教 !

爱码仕1
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
Secure;HttpOnly
最新发布
wuzj1314的博客
07-21 322
具体来说,它使用正则表达式将原始的Set-Cookie标头捕获到的内容($1)放在新的Set-Cookie标头中,并在其后添加";这样做的目的是增加Cookie的安全性。在Apache的httpd.conf文件中,这个配置行的作用是编辑HTTP响应中的Set-Cookie标头(Header),将所有的Cookie设置为"Secure"和"HttpOnly"。"^"表示匹配字符串的开始,"$"表示匹配字符串的结束。HttpOnly":这是新的Cookie属性,将会添加到原始Set-Cookie标头的末尾。
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
热门推荐
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
HTTP-only Cookie 脚本获取JSESSIONID的方法
氼兲戦S無撩
08-21 1万+
HTTP-only Cookie 脚本获取JSESSIONID的方法 实现隐藏sessionid
java开发中替换cookie越权,在JSESSIONID cookie中设置httponly(Java EE 5)
weixin_35225144的博客
02-26 1286
I'm trying to set the httponly flag on the JSESSIONID cookie. I'm working in Java EE 5, however, and can't use setHttpOnly(). First I tried to create my own JSESSIONID cookie from within the servlet...
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3011
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
java web 登录后更新JSESSIONID
lisheng19870305的专栏
08-30 2930
一、方案一 登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID的方法 /** * 重置sessionid,原session中的数据自动转存到新session中 * @param reque...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP设置CookieHTTPONLY属性方法
10-20
HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过浏览器读取和修改Cookie。本文将详细讲解如何在PHP中设置CookieHTTPOnly属性HTTPOnly属性是由微软在IE6 SP1中首先引入的,目的是...
由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 CookieJSESSIONID”。
m0_61237221的博客
01-17 1万+
记一次无法登录tomcat部署的wepapp页面,用户密码都是对的,验证码也是输入正确,但是页面报错提示是验证码不正确。用火狐开发工具查看出现以下报错 由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 CookieJSESSIONID”。 解决办法: 查看tomcat配置文件,发现自己启用了cookieHttpOnly属性,接下来就把他关闭掉。 1、修改$CATALINA_HOME/conf/context.xml,把<Context useHttpOnly="
JQuery 定期刷新网页,保持登录状态Session
sayyy的专栏
03-08 1423
前言 360极速浏览器 13.0.2206.0 (正式版本) (32 位) 操作系统 Windows 10 OS Version 1909 (Build 18363.1379) JavaScript V8 8.6.395.25 JQuery 定期刷新网页,保持登录状态Session 本地的系统,session保持时间太短,导致频繁登录。 因此,需要定期刷新网页,以使Session处于活跃。 操作步骤 选个简单的页面。比如:http://localhost/intro/help.html 在新标签页中,
增加 cookie 安全性添加HttpOnlysecure属性
轻描淡写
10-12 4992
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
CookieHttpOnlysecure、domain属性
LJLLJL20020628的博客
09-20 373
Cookie主要属性 Cookie主要属性: path domain max-age expires:是expires的补充,现阶段有兼容性问题:IE低版本不支持,所以一般不单独使用 secure httponly JS不能读写HttpOnly Cookie 属性之间使用英文分号和空格("; ")连接 浏览器存放cookie包含的字段: name、value expiry-ti...
Javascript访问Cookie的四个常用方法
weixin_30824479的博客
11-23 89
Javascript访问Cookie的四个基本方法无论是在创建页面还是构建对象都会使用到,单独拿出来备用:// utility function called by getCookie()function getCookieVal(offset) { var endstr = document.cookie.indexOf (";", offset); if (endstr == -1) {...
无法通过document.cookie获取到cookie,但是却可以在控制台看到。
m0_72436362的博客
06-26 2053
cookie是从后端设置的,所以为了安全问题,设为了true,但也带来了一个问题,无法通过js脚本来获取该cookie,只能看得到,但是你获取不到。但是虽然设置了httponly为true,网络请求还是可以正常携带发送的,因为这个属性本质上就是为了防止一些脚本和xss攻击的。setcookie 第七个属性就是设置 httponly 的,设置后无法通过 js 脚本获取。刚刚发现的一个问题,发现document.cookie无法获取到某些cookie
Cookie 未加入 httponly 属性测试方法
05-18
Cookie 未加入 httponly 属性可能会导致 Web 应用程序面临 XSS(跨站脚本攻击)风险。攻击者可以通过 JavaScript 访问未设置 httponly 属性Cookie,从而窃取用户的会话信息或执行其他恶意操作。 为了测试 Cookie 是否设置了 httponly 属性,可以按照以下步骤进行: 1. 打开浏览器的开发者工具,并切换到 Network 选项卡。在地址栏中输入被测试的网站地址,然后按回车键访问该网站。 2. 在 Network 选项卡中找到请求标头中的 Set-Cookie 响应头信息,查看是否包含了 httponly 属性。如果未包含 httponly 属性,则说明该 Cookie 存在安全风险。 3. 如果 httponly 属性未设置,则可以通过修改应用程序代码,为 Cookie 设置 httponly 属性,以提高应用程序的安全性。 需要注意的是,测试 Cookie 是否设置了 httponly 属性可能需要具备一定的网络安全知识和技能。建议在网络安全专业人士的指导下进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值