java cookie secure_Cookie的Secure属性

最新推荐文章于 2024-02-23 15:15:58 发布
最新推荐文章于 2024-02-23 15:15:58 发布
阅读量982 收藏 2
点赞数
文章标签: java cookie secure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39635648/article/details/114514203
版权

测试过程

支付页面:

9feeaae72979baafcf25ba8a37b271f5.png

Secure属性为false,没有开启。

风险分析

Cookie未设置secure属性,攻击者可以通过嗅探HTTP形式的数据包获取到该cookie。

解决方法

将Cookie应设置secure属性。

基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。

Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。

例子是:

前提条件:https://localhost:9102应用对cookie设置了Secure=true

1. 访问 https://localhost:9102/manager

2. 输入用户名、密码,用IE或者Chrome的developer tool会看到response的header里,set-cookie的值里有Secure属性

3. 登录后,继续访问https://localhost:9102/manager#user,可以正常看到内容

4. 修改url,访问http://localhost:9100/manager#domain,会跳转到登录页面,因为cookie在http协议下不发送给服务器,服务器要求用户重新登录

原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:

1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config,添加:

weixin_39635648
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java cookie secure_COOKIESECURE属性
weixin_36173034的博客
02-16 1180
昨天跑了一下测试,发现服务器明明向客户端写了COOKIE,而且浏览器也木有禁用COOKIE,但是从浏览器再访问服务器,SessionID死活不会传到服务器。搞了一个上午,找不到原因,正在焦头烂额的时候,一个前辈帮了大忙。原来我的访问URL协议头是HTTP,而Weblogic里面的配置被人改动了。把cookie-secure的值改为了true,true意味着"指示浏览器仅通过 HTTPS 连接传回 ...
cookiesecure属性详解
09-03
当服务器通过Set-Cookie响应头设置一个Cookie时,如果加上`secure`属性,浏览器将会遵循以下规则: 1. **仅在HTTPS中发送**:当用户通过HTTPS与服务器建立安全连接时,浏览器才会将包含`secure`属性Cookie发送给...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
java cookie secure_cookiesecure属性详解
weixin_28728425的博客
02-16 1219
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。顾名思义,这个属性就是用来保证cookie的安全的。当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.ba...
Java Spring-session 1.x 老项目设置cookieSecure标志位
最新发布
thinkdreamyy的博客
02-23 388
老项目安全整改需求,这里记录一下。
Test_dl.rar_cookie_cookie java_cookies_java cookie
09-24
标题中的“Test_dl.rar_cookie_cookie java_cookies_java cookie”暗示了一个关于Java编程中处理Cookie的教程或项目,可能涉及网络登录验证。描述进一步说明了这个压缩包包含的信息,它提到了如何利用Cookie进行自动...
Session Cookie的HttpOnly和secure属性
10-29
首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
cooiek的Secure属性设置
m0_61560589的博客
10-11 2114
cooiek中有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek中要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
Java 进阶篇】Cookie 使用详解
繁依Fanyi的博客
11-06 1190
在 Web 开发中,Cookie 是一种用于存储客户端(通常是浏览器)数据的小型文本文件。Cookie 可以被服务器端创建并发送给客户端,然后客户端在之后的每次请求中都会将这些 Cookie 数据发送给服务器。这使得服务器可以在不同请求之间跟踪用户的状态和信息。在本文中,我们探讨了 Cookie 的基本概念、工作原理以及如何使用和管理 CookieCookie 在 Web 开发中扮演着重要的角色,用于实现用户个性化体验、会话管理和更多功能。
js无法获取cookie
LuckyTHP
11-17 1545
cookie
vue-cli3 config 配置踩坑
weixin_41886801的博客
12-21 853
网上搜索了很多文章,可能由于 vue-cli 版本问题,vue.config 的 devServe 配置都不相同,通过不懈努力,终于调好了,现分享 vue-cli3 的 devSevee 的proxy 代理配置: axios.defaults.baseURL 配置随意。 module.exports = { // 开发服务器配置 devServer: { // pro...
总结一个前端知识点 pathRewrite
热门推荐
weixin_32555599的博客
10-22 2万+
举个例子开头 一个前端vue中的配置,给出三种情况 配置文件 vue.config.js proxy: { '/api/test': { //这里最好有一个 / target: 'http://192.168.115.115:8888', // 后台接口域名 // ws: true, //如果要代理 websockets,配置这个参数 // secure: false, // 如果是https接口,需要配置这个参数
django配置-开发环境配置SESSION_COOKIE_SECURE = False 解决react登录秒退问题
西京刀客
10-08 1333
django配置-SESSION_COOKIE_SECURE = True 官方参考:https://docs.djangoproject.com/en/dev/topics/security/
cookie设置secure属性不生效
sadanmowang的博客
07-05 3675
在网上找资料,都是说cookie如果设置了secure=true,那么在http请求的时候,这个cookie就不会往后端传递。为了验证这个说法,我自己用springboot搭了一个简单程序,写了一个接口做测试,接口代码如下,很简单 @RequestMapping("/demo") @RestController public class DemoController { @GetMapping("/hello") public ResultVO hello(HttpServletReq
consul tags secure=false
贾世鑫的博客
06-09 1430
consul tags secure=false
vue 配置【详解】 vue.config.js ( 含 webpack 配置 )
朝阳39的博客
01-14 1万+
目录 常用配置 完整配置 使用vue-cli 3.x 脚手架创建的 vue 项目不再有 build文件夹,若需要进行相关配置,需在项目目录下新建文件vue.config.js 常用配置 // 后端服务器地址 let url = 'http://localhost:8888' module.exports = { publicPath: './', // 【必要】静态文件使用相对路径 outputDir: "./dist", //打包后的文件夹名字及路径 devS..
JavaCookie属性介绍
Hanyinh的博客
04-14 711
Cookie
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值