为web服务器设置HttpOnly防范XSS攻击

最新推荐文章于 2024-07-20 10:00:00 发布

weixin_30677617

最新推荐文章于 2024-07-20 10:00:00 发布

阅读量823

点赞数

文章标签： web.xml java

原文链接：http://www.cnblogs.com/101key/p/3569279.html

版权

HttpOnly标识是一个可选的、避免利用XSS（Cross-Site Scripting)来获取session cookie的标识。XSS攻击最常见一个的目标是通过获取的session cookie来劫持受害者的session；使用HttpOnly标识是一种很有用的保护机制。

可以人工设置这些参数，如果在Servlet3或者更新的环境,tomcat7中开发，只需要在web.xml简单的配置就能实现这种效果。

你要在web.xml中添加如下片段：

<session-config>

　 <cookie-config>

　　<http-only>true</http-only>

　　</cookie-config>

</session-config>

而且如果使用了secure标识，配置应该如下

<session-config>

　　<cookie-config>

　　<http-only>true</http-only>

　　</cookie-config>

</session-config>

转载于:https://www.cnblogs.com/101key/p/3569279.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30677617

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Yii2的XSS攻击防范策略分析

10-21

1. **HTTPOnly Cookie设置**：这一措施是通过在服务器端设置，使得cookie不被JavaScript访问。即使页面中有脚本注入攻击，攻击者也无法通过document.cookie等JS代码来获取cookie信息，有效防止了利用cookie盗取会话...

web.xml文件详解

weixin_30615767的博客

12-28

1793

web.xml文件详解　　前言：一般的web工程中都会用到web.xml，web.xml主要用来配置，可以方便的开发web工程。web.xml主要用来配置Filter、Listener、Servlet等。但是要说明的是web.xml并不是必须的，一个web工程可以没有web.xml文件。 1、WEB工程加载web.xml过程　　经过个人测试，WEB工程加载顺序与元素节点在文件...

参与评论您还未登录，请先登录后发表或查看评论

Web.xml文件配置详解

KYGALYX的博客

11-23

7436

可有可无，如果在web.xml中不写配置信息，默认的路径是/WEB-INF/applicationContext.xml，在WEB-INF目录下创建的xml文件的名称必须是applicationContext.xml。通常无需重写init()和destroy()两个方法，除非需要在初始化Servlet时，完成某些资源初始化的方法，才考虑重写init()方法，如果重写了init()方法，应在重写该方法的第一行调用super.init(config)，该方法将调用HttpServlet的init()方法。

【前端安全】cookie中如果给某个字段设置了HttpOnly会怎么样？

最新发布

xingyu_qie的专栏

07-20

596

HttpOnly是由微软引入的一个Cookie标志，最初在Internet Explorer 6 Service Pack 1中实现。它的目的是增加Cookie的安全性，防止客户端脚本（如JavaScript等）通过document.cookie API来访问带有HttpOnly标志的Cookie。这种措施主要是为了防止跨站脚本攻击（XSS攻击），因为XSS攻击常常利用恶意脚本来获取用户的Cookie信息，然后进行信息窃取或会话劫持等恶意行为。

漏洞解决方案-HttpOnly设置

smart的博客

08-11

7592

漏洞解决方案-HttpOnly设置漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法漏洞解决方案-HttpOnly设置漏洞概述在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，HTTP-only cookie是一种用以缓解跨站脚本攻击的技术，如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS盗取用户cookie。攻击步骤测试并发现一个存在XSS漏洞网站。通过XSS漏洞，插入恶意链接：

web.xml配置的详细说明

hdy007

12-17

130

1 定义头和根元素部署描述符文件就像所有XML文件一样，必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。 DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（如2.2或2.3）并指定管理此文件其余部分内容的语法的DTD(Document Type Definition，文档类型定义)。所有部署描述符文件的顶层（根）元素为we...

TongWeb相关http安全头设置方式

web的博客

12-16

7663

一、X-Frame-Options响应头配置 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌套到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions中设置该参数： -Dtongweb.X........

TongWeb上设置应用 cookie 属性

web的博客

11-15

1394

功能需求：需要更改应用默认的 cookie 中 JSESSIONID 名称、域名、路径等配置。解决办法：在 JavaEE6 规范中对 web.xml 的 schema 定义中增加了 cookie 属性设置，应用的web.xml中可配置如下： <session-config> <session-timeout>30</session-timeout> <cookie-config> <name>MYJSESSI...

XSS跨域攻击在web项目中的防范，基于antisamy技术

07-10

针对XSS攻击的防范是Web开发中不可或缺的一环。 antisamy技术是一种专门用于防御XSS攻击的库，由OWASP（开放网络应用安全项目）开发。它的主要目标是清理或过滤用户输入的数据，防止恶意脚本在浏览器中执行。...

web漏洞之XSS_TEST漏洞实践练习代码

04-25

Web漏洞中的XSS（Cross Site Scripting）攻击是一种常见的安全问题，主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本，从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...

XSS跨站脚本攻击课件

11-24

4. **使用HTTPOnly Cookie**：设置Cookie为HTTPOnly，阻止JavaScript访问，减少Cookie被窃取的风险。 5. **DOM安全**：谨慎处理DOM事件和数据，避免通过DOM操作执行未经验证的用户输入。 6. **编码和解码一致性**...

XSS 跨站脚本攻击及防范

09-07

防范XSS攻击的主要措施包括： 1. 对用户输入进行严格的过滤和转义，避免将未经过滤的数据直接显示在页面上。 2. 使用HTTP头部的安全策略，如Content-Security-Policy，限制浏览器只能执行指定来源的脚本。 3. 使用...

web.xml文件中的7个错误的安全配置

weixin_30673611的博客

01-29

317

关于Java的web.xml文件中配置认证和授权有大量的文章。本文不再去重新讲解如何配置角色、保护web资源和设置不同类型的认证，让我们来看看web.xml文件中的一些常见的安全错误配置。 (1) 自定义的错误页面没有配置默认情况下，Java Web应用在发生错误时会将详细的错误信息展示出来，这将暴露服务器版本和详细的堆栈信息，在有些情况下，甚至会显示Java代码的代码片段。这些信息对...

web.xml中配置session属性

热门推荐

ch717828的专栏

09-18

3万+

为什么要在web.xml配置JSP属性在许多情况下，都可以在Java EE中直接使用HTTP会话，不需要添加显示地配置。不过可以在部署描述符中配置它们，并且出于安全地目的也应该配置。在部署描述符中使用标签配置会话。样例 30 JSESSIONID example.org /shop true false 1800 COOK

web工程ajax访问servlet报404错误，访问不到servlet

wumin_chy的博客

07-11

6863

这里就我遇到的问题做一个总结，希望能帮到你我做一个web工程，ajax访问servlet，一直报404错误，下面粘贴我配置的web.xml,html页面ajax访问serlvet的访问呢方法，serlvet类 web.xml文件：servlet类路径没有问题 ajax访问servlet：这里不需要管function回调函数里面的逻辑处理，只需要看url访问路径 servl

web渗透测试----33、HttpOnly

七天

06-07

1415

HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性，用以阻止客户端脚本访问Cookie，至今已经称为一个标准，几乎所有的浏览器都会支持HttpOnly。下面示例显示了HTTP响应标头中HttpOnly使用的语法： Set-Cookie: <name>=<value>[; <Max-Age>=<age>] `[; expires=<date>][; domain=&lt

网站安全之设置HttpOnly的方法

owen_william的博客

03-26

1万+

1. 问题说明如果我们为Cookie设置HttpOnly的属性，那么就可以防止系统有Cookie的信息泄露。比如，我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了，就可能对系统的安全造成威胁了。 2. 解决办法在Tomcat下的conf的web.xml加入如下信息

tomcat配置httponly属性

IT小生

05-06

1万+

IBM AppScan 安全扫描：提示Cookie 中缺少 Secure 属性处理办法在tomcat/conf/ 下找到context.xml修改,以下为Apache官网描述： refer ：http://tomcat.apache.org/tomcat-6.0-doc/config/context.html 此问题的原因在

HttpOnly的设置

willie_chen的专栏

08-02

2万+

描述： 1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 2.HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高...

Java开发中防范XSS跨站脚本攻击策略

防范XSS攻击的关键在于数据过滤和输入验证。Java开发者应该遵循以下最佳实践： 1. **使用HTTPOnly Cookie**: 设置Cookie的HttpOnly属性，可以防止JavaScript访问Cookie，减少攻击者窃取用户Session的可能性。 2. *...