WebSphere服务器学习记录(一)之was HttpOnly设置

最新推荐文章于 2022-08-02 13:48:24 发布
最新推荐文章于 2022-08-02 13:48:24 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41272880/article/details/84528341
版权

- 前言
最近遇到个was环境下安全性方面的问题,需要后台返回给前端页面的cookie设置为HttpOnly属性,一开始was方面的知识比较匮乏,手动在项目代码拦截器里设置response.setHeader(“Set-Cookie”,“JSESSIONID=${value};HttpOnly”),发现几个问题。
①发现后台Session对象的属性Id和前端发送请求携带的JESSIONID值有出入,JESSIONID对比Session对象ID多了前缀后缀里插入图片描述
第一个为Session Id值,第二个为页面cookie中的JESSIONID,可以发现首部多了4位数字,后缀其实还有个:-1我这里没有完整截图,tomcat下部署的项目则没有这个问题,Session Id和JESSIONID值相等,无法确认是was的问题还是spring-security的问题(项目中有用这个框架)
②获取到请求的Cookies值遍历重新设置HttpOnly后,下次请求会带cookie两个相同的key-value,虽然设置上了HttpOnly,但是第一次由于是不带任何cookie的,JESSIONID返回时不带HttpOnly的。
这两个问题一会没弄明白,希望懂得人看到后能够留言帮忙解惑

- 最终解决方法
最终从一篇CSDN问答中找到解决方案,附上链接https://bbs.csdn.net/topics/390706141
现记录步骤如下:
1.Application servers->server1->session management->勾选enable cookies->enable cookies->勾选Restrict cookies to HTTPS sessions
2.Applicjation servers->server1->Web container->Custom properties->点解new->设置name: com.ibm.ws.webcontainer.httpOnlyCookies 设置value: JESSIONID
3.保存设置,重启服务器

相关截图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

老小猿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
生成自验证证书、websphere设置https
12-01
通过jdk自带的工具生成自验证证书、在websphere设置https,was7.0和was8.5都可以,自己运行成功一步一步截图的
websphere加快部署服务器启动速度
10-08
was9加快部署应用速度和启动服务器速度。websphere服务器启动速度非常慢,网上搜了很多资料,亲测速度加快了许多。
HttpOnly 标志——保护 Cookie 免受 XSS
最新发布
allway2的博客
08-02 3055
然而,在日常使用中,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种保护cookie免受此类盗窃的方法一个标志,告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie,如果连接是HTTP,浏览器将永远不会发送cookie。HTTP响应标头的可选属性,由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie,具体取决于访问者与设置cookie的站点的交互方式。...
网站安全之设置HttpOnly的方法
owen_william的博客
03-26 1万+
1.  问题说明      如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。 2.  解决办法 在Tomcat下的conf的web.xml加入如下信息
关于用户禁用Cookie的解决办法和Session的图片验证码应用
dianzhilian6452的博客
04-15 348
  当用户通过客户端浏览页面初始化了Session之后(如:添加购物车,用户登陆等),服务器会将这些session数据保存在:Windows保存在C:\WINDOWS\Temp的目录下,Linux则是保存在/tmp 或 /var/lib/php/session目录下,之后给客户端返回一个Set-Cookie的参数(该参数表示在服务器端创建的Session_ID,可在http协议中看到),...
客户端禁用cookie时session解决方案<转>
过客阵营 -- 简单的就要最简单
07-02 360
在PHP中使用过SESSION的朋友可能会碰到这么一个问题,SESSION变量不能跨页传递。这令我苦恼了好些日子,最终通过查资料思考并解决了这个问题。我认为,出现这个问题的原因有以下几点: 1、客户端禁用了cookie 2、浏览器出现问题,暂时无法存取cookie 3、php.ini中的session.use_trans_sid = 0或者编译时没有打开--enable-trans...
安全03-修改WAS配置解决请求头中缺少httponly、secure字段问题
windows_apple的博客
12-01 1022
安全问题描述 1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息 2.secure属性设置为Flase时,Cookie存在被窃听的风险 问题如下图所示 修复方案 1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.ht
通过配置文件来修改WAS控制台Session过期时间的方法
简单就是美!
06-17 971
通过配置文件来修改WAS控制台Session过期时间的方法 在DM节点目录,或者单服务器的概要节点的目录下,在如下目录找到文件deployment.xml config\cells\XyzCell\applications\isclite.ear\deployments\isclite 打开 deployment.xml 文件,找到invalidationTimeout,将默认值 3...
WAS9或WAS8配置HTTPS证书详细教程
03-10
WebSphere Application Server (WAS) 是一款广泛应用的中间件,用于托管企业级应用程序。在现代网络环境中,为了确保数据传输的安全性,HTTPS 协议变得至关重要。本教程将详细介绍如何在 WAS 9 或 WAS 8 上配置 ...
各中间件禁用不安全的HTTP方法
02-10
各中间件禁用不安全的HTTP方法,安全加固方法学习方法参考。
IBM_WAS简介.ppt IBM WebSphere应用服务器简介
04-30
IBM WebSphere 应用服务器是IBM Software Group推出的一款强大的企业级应用服务器,它在IT行业中占据了重要的市场地位。WebSphere 应用服务器以其强大的技术特点和广泛的兼容性赢得了用户的青睐。 首先,WebSphere ...
前端cookie详解
weixin_47450807的博客
01-27 1万+
cookie在前端还是比较总重要的,接下来将总结一下cookie知识点。 将从以下方面去聊一聊cookie。 1、什么样的数据适合放到cookie中。 2、cookie是如何设置的。 3、cookie如何进行携带传送给服务器的。 4、cookie如何实现删除的。 1、什么样的数据适合存放在cookie中? 我们在详细了解这个问题之前,需要先了解cookie是如何工作的? cookie是存放在浏览器中的,在每一个浏览器安装目录下,都存在一个文件夹,存放 着不同域下对应的cookie。当浏览器通过http请求
Cookie在前端读不到 多半是因为Cookie在服务器端的设置HttpOnly 意味着只能在后台操作Cookie...
weixin_30466421的博客
01-18 2386
比如Shiro框架的 RememberMe Cookie 是不允许Js进行读写的 只能在服务器端通过同一个域的请求获得 import com.constantine.forum.exception.ForumException; import org.springframework.web.context.request.RequestContextHolder; imp...
为web服务器设置HttpOnly防范XSS攻击
weixin_30677617的博客
02-26 806
HttpOnly标识是一个可选的、避免利用XSS(Cross-Site Scripting)来获取session cookie的标识。XSS攻击最常见一个的目标是通过获取的session cookie来劫持受害者的session;使用HttpOnly标识是一种很有用的保护机制。 可以人工设置这些参数,如果在Servlet3或者更新的环境,tomcat7中开发,只需要在web.xml简单的配置就能...
httpOnly-cookies获取不到JSESSIONID一直在变
qq_24241631的博客
03-07 2835
1.查看tomcatconf/context.xml文件并修改: 这个不太好操作,要是用ecplise启动tomcat,这文件会被还原,又要重新改麻烦,最好单独启tomcat &lt;ContextuseHttpOnly="false"&gt; 2.修改项目web.xml &lt;session-config&gt; &lt;session-timeout&gt;20&lt;/se...
Cookie设置HttpOnly,Secure,Expire属性
热门推荐
怀揣梦想,努力前行
05-29 8万+
eclipese中创建Web工程时,有个
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
IBM WebSphere Application Server (WAS) 使用指南
"WebSphere Application Server (WAS) 使用手册主要涵盖了IBM的这款应用服务器的基础架构、管理和部署等方面的知识。" 在深入理解WebSphere Application Server的使用时,首先要明白其基本结构。WAS的架构是层次式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值