会话cookie 中缺少 HttpOnly 属性安全漏洞原理和解决方案

已于 2023-08-31 15:24:00 修改
阅读量1.3w 收藏 9
点赞数
分类专栏: 安全 web安全 文章标签: 安全 web安全 http
于 2016-12-16 09:33:19 首次发布
文章来源:作者冰点(icepip.blog.csdn.com)
本文链接:https://blog.csdn.net/wangshuai6707/article/details/53688669
版权

0. 背景

公司的项目被测出漏洞,提示“会话cookie 中缺少 HttpOnly 属性 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务” 

其实解决方法很简单 HttpOnly 设置为true 就OK了,但是我们需要了解原理,知其然,知其所以然

0. 什么是HttpOnly

HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookie 的 HttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie。

1. HttpOnly 属性的作用 

1. 防止跨站脚本攻击(XSS)

XSS 攻击是一种常见的网络攻击,黑客通过注入恶意脚本来窃取用户 cookie,获取用户敏感信息。将 cookie 设置为 HttpOnly 可以阻止这种攻击,因为恶意脚本无法访问或修改包含敏感信息的 cookie。

2. 增加会话安全性

由于会话 cookie 经常用于管理用户的登录状态和身份验证,将其设置为 HttpOnly 可以增加会话的安全性。黑客无法在用户的浏览器中获取会话 cookie 的值,进而无法伪造用户身份。

3. 减少信息泄露风险

将 cookie 设置为 HttpOnly 可以减少敏感信息泄露的风险。即使恶意脚本成功注入网页,它也无法获取存储在 cookie 中的敏感数据。

 

2. cookie 属性 常见的设置

1. Secure:该属性指定是否只能通过安全的 HTTPS 连接来传输 cookie。当设置为 true 时,只有在 HTTPS 连接下才会传输该 cookie。这样可以增加 cookie 的安全性,防止敏感信息在传输过程中被拦截。

2. HttpOnly:该属性用于防止客户端脚本(如JavaScript)访问和操作 cookie。当设置为 true 时,脚本无法通过 document.cookie 或其他方法读取或修改该 cookie。这可以防止跨站脚本攻击(XSS)和增加会话安全性。

3. Domain:该属性指定 cookie 可以被发送到哪个域名下的服务器。默认情况下,cookie 是针对当前网页的域名有效的。如果需要在多个子域名之间共享 cookie,可以设置 Domain 属性为主域名,使其在整个域名下有效。

4. Path:该属性指定 cookie 可以被发送到哪个路径下的服务器。默认情况下,cookie 是针对当前路径有效的。如果需要在特定路径下共享 cookie,可以设置 Path 属性为该路径。

5. Expires/Max-Age:这两个属性用于设置 cookie 的过期时间。Expires 属性指定一个具体的过期时间,而 Max-Age 属性指定一个相对的过期时间(以秒为单位)。当过期时间到达后,浏览器将删除该 cookie。

6. SameSite:该属性指定了跨站点请求时是否发送 cookie。可以设置为 "Strict",表示只有在同一站点请求时才会发送 cookie;或者设置为 "Lax",表示在同一站点请求和一些导航请求(如点击链接或预加载资源)时会发送 cookie。

 

3. HttpOnly 属性安全解决方案

解决方法1

 Cookie[] cookies = ((HttpServletRequest)request).getCookies();
 if(cookies!=null)
 {
 for(Cookie cookie : cookies){
 //tomcat7 支持该属性,tomcat6 不支持
 cookie.setHttpOnly(true);
 }

我们的tomcat6上这种方法不支持,只好使用以下方法2

解决方法2

if(cookies!=null){
    for(Cookie cookie : cookies){
     //tomcat7 支持该属性,tomcat6 不支持
     String value = cookie.getValue();  
              StringBuilder builder = new StringBuilder();  
              builder.append("JSESSIONID=" + value + "; ");  
              builder.append("Secure; ");  
              builder.append("HttpOnly; ");  
              Calendar cal = Calendar.getInstance();  
              cal.add(Calendar.HOUR, 1);  
              Date date = cal.getTime();  
              Locale locale = Locale.CHINA;  
              SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale); 
              builder.append("Expires=" + sdf.format(date));  
              resp.setHeader("Set-Cookie", builder.toString()); 
    }

 解决方法3 

Spring 框架设置 cookie.setHttpOnly(true);

 可以使用Spring的`javax.servlet.http.CookieGenerator`类来处理cookie。`CookieGenerator`类提供了更方便的方法来创建和处理cookie。以下是使用`CookieGenerator`类来设置HttpOnly属性的示通过调用`cookieGenerator`对象的方法,可以设置cookie的属性,包括HttpOnly属性。请注意,需要将`javax.servlet.http.HttpServletResponse`对象注入到`cookieGenerator`对象中,以便将cookie添加到响应中。
 

@Autowired
private CookieGenerator cookieGenerator;

public void setCookie() {
    cookieGenerator.addCookie("name", "value");
    cookieGenerator.setCookieHttpOnly(true);
    cookieGenerator.setCookieMaxAge(3600);
    cookieGenerator.setCookiePath("/");
}


 

 


 
冰点.
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB安全漏洞Cookie缺少相关安全属性HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
会话cookie缺少HttpOnly属性
itmyhome的专栏
09-14 1万+
项目经第三方机构进行安全扫描漏洞出现“会话cookie缺少HttpOnly属性”问题 安全风险 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 Web 应用程序设置了缺少 HttpOnly 属性会话 cookie 技术描述 在应用程序测试过程,检测到所测试的 Web 应用程序设置了不含“
Cookie 缺失secure漏洞修复
煜铭2011
06-27 9424
0x00 漏洞背景 Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络有监控,可能被截获。 如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。 攻击者即使窃听网络,也无法获取用户明文cookie。 0x01 修复思路 设置cookie时,加入属性
HTTP-only Cookie:保护用户隐私的重要手段
最新发布
你若盛开,清风自来
07-20 1029
本文将介绍HTTP-only Cookie的概念、作用及其在实际项目的应用,帮助读者更好地理解HTTP-only Cookie的重要性,提高网络安全防护能力。HTTP-only Cookie是一种特殊类型的Cookie,它只能通过HTTP协议发送和接收,不能通过JavaScript等客户端脚本访问。这意味着,即使攻击者通过XSS等手段获取了用户的Cookie,也无法通过客户端脚本读取或修改这些Cookie
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1650
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 6498
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
Django检测到会话cookie缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1234
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
检验-会话cookie缺少HttpOnly属性
RayChiu757374816的博客
12-11 3257
第一次遇到这样的问题,就想来记录下这个。 详细问题描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。    2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5157
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
cookie设置httpOnly和secure属性实现及问题
01-03
一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性可以帮助开发者防止跨站脚本攻击(XSS)和间人攻击(MITM)。 #### 二、属性介绍 ##### 1. `secure`属性 - **定义**: 当...
Session CookieHttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
加密会话(SSL)Cookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
Centos7系统安全漏洞及修复方案
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
javaWeb安全漏洞及处理方式
lujiancs的专栏
10-08 4418
1、SQL注入攻击   随着B/S框架结构在系统开发的广泛应用,恶意攻击者利用SQL命令在Web表单输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库数据结构。攻击者能够获得系统较高的访问权限,进行破坏操作。      解决方法:     数据库安全通信包括SQL注入攻击的防范、安全设置、异常信息处理三个方面。     1
会话 cookie 缺少HttpOnly 属性 的问题
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其有一个漏洞问为“会话 cookie 缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程,检测到所测试的 Web 应用程序设置了不含 “HttpOnly属性会话 cookie。由于此会话 cookie 不包含“HttpOnly属性,因此 注入站点的恶意脚本可能访问此 cookie
IIS - 会话cookie缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnlyWeb.config添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2095
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
JAVA HTTPS会话的敏感Cookie没有设置安全属性 解决方案
03-09
对于这个问题,可以通过在代码设置Cookie的Secure属性为true来解决。这样可以确保敏感Cookie只能在HTTPS连接传输,从而提高安全性。同时,还可以通过设置HttpOnly属性来防止跨站脚本攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰点.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值