WebSphere服务器学习记录(一)之was HttpOnly设置

最新推荐文章于 2022-08-02 13:48:24 发布
最新推荐文章于 2022-08-02 13:48:24 发布
阅读量3.8k 收藏 3
点赞数 1
分类专栏: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41272880/article/details/84528341
版权

- 前言
最近遇到个was环境下安全性方面的问题,需要后台返回给前端页面的cookie设置为HttpOnly属性,一开始was方面的知识比较匮乏,手动在项目代码拦截器里设置response.setHeader(“Set-Cookie”,“JSESSIONID=${value};HttpOnly”),发现几个问题。
①发现后台Session对象的属性Id和前端发送请求携带的JESSIONID值有出入,JESSIONID对比Session对象ID多了前缀后缀里插入图片描述
第一个为Session Id值,第二个为页面cookie中的JESSIONID,可以发现首部多了4位数字,后缀其实还有个:-1我这里没有完整截图,tomcat下部署的项目则没有这个问题,Session Id和JESSIONID值相等,无法确认是was的问题还是spring-security的问题(项目中有用这个框架)
②获取到请求的Cookies值遍历重新设置HttpOnly后,下次请求会带cookie两个相同的key-value,虽然设置上了HttpOnly,但是第一次由于是不带任何cookie的,JESSIONID返回时不带HttpOnly的。
这两个问题一会没弄明白,希望懂得人看到后能够留言帮忙解惑

- 最终解决方法
最终从一篇CSDN问答中找到解决方案,附上链接https://bbs.csdn.net/topics/390706141
现记录步骤如下:
1.Application servers->server1->session management->勾选enable cookies->enable cookies->勾选Restrict cookies to HTTPS sessions
2.Applicjation servers->server1->Web container->Custom properties->点解new->设置name: com.ibm.ws.webcontainer.httpOnlyCookies 设置value: JESSIONID
3.保存设置,重启服务器

相关截图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

老小猿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
生成自验证证书、websphere设置https
12-01
通过jdk自带的工具生成自验证证书、在websphere设置https,was7.0和was8.5都可以,自己运行成功一步一步截图的
websphere加快部署服务器启动速度
10-08
was9加快部署应用速度和启动服务器速度。websphere服务器启动速度非常慢,网上搜了很多资料,亲测速度加快了许多。
HttpOnly 标志——保护 Cookie 免受 XSS
allway2的博客
08-02 3048
然而,在日常使用中,Web应用程序很少需要通过JavaScript访问cookie。因此,设计了一种保护cookie免受此类盗窃的方法一个标志,告诉Web浏览器cookie只能通过HTTP访问-如果设置了这个cookie,如果连接是HTTP,浏览器将永远不会发送cookie。HTTP响应标头的可选属性,由Web服务器在HTTP响应中与网页一起发送到Web浏览器。应发送cookie,具体取决于访问者与设置cookie的站点的交互方式。...
安全03-修改WAS配置解决请求头中缺少httponly、secure字段问题
windows_apple的博客
12-01 1021
安全问题描述 1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息 2.secure属性设置为Flase时,Cookie存在被窃听的风险 问题如下图所示 修复方案 1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.ht
客户端禁用cookie时session解决方案<转>
过客阵营 -- 简单的就要最简单
07-02 358
在PHP中使用过SESSION的朋友可能会碰到这么一个问题,SESSION变量不能跨页传递。这令我苦恼了好些日子,最终通过查资料思考并解决了这个问题。我认为,出现这个问题的原因有以下几点: 1、客户端禁用了cookie 2、浏览器出现问题,暂时无法存取cookie 3、php.ini中的session.use_trans_sid = 0或者编译时没有打开--enable-trans...
通过配置文件来修改WAS控制台Session过期时间的方法
简单就是美!
06-17 969
通过配置文件来修改WAS控制台Session过期时间的方法 在DM节点目录,或者单服务器的概要节点的目录下,在如下目录找到文件deployment.xml config\cells\XyzCell\applications\isclite.ear\deployments\isclite 打开 deployment.xml 文件,找到invalidationTimeout,将默认值 3...
前端cookie详解
weixin_47450807的博客
01-27 1万+
cookie在前端还是比较总重要的,接下来将总结一下cookie知识点。 将从以下方面去聊一聊cookie。 1、什么样的数据适合放到cookie中。 2、cookie是如何设置的。 3、cookie如何进行携带传送给服务器的。 4、cookie如何实现删除的。 1、什么样的数据适合存放在cookie中? 我们在详细了解这个问题之前,需要先了解cookie是如何工作的? cookie是存放在浏览器中的,在每一个浏览器安装目录下,都存在一个文件夹,存放 着不同域下对应的cookie。当浏览器通过http请求
为web服务器设置HttpOnly防范XSS攻击
weixin_30677617的博客
02-26 805
HttpOnly标识是一个可选的、避免利用XSS(Cross-Site Scripting)来获取session cookie的标识。XSS攻击最常见一个的目标是通过获取的session cookie来劫持受害者的session;使用HttpOnly标识是一种很有用的保护机制。 可以人工设置这些参数,如果在Servlet3或者更新的环境,tomcat7中开发,只需要在web.xml简单的配置就能...
WAS9或WAS8配置HTTPS证书详细教程
03-10
WebSphere Application Server (WAS) 是一款广泛应用的中间件,用于托管企业级应用程序。在现代网络环境中,为了确保数据传输的安全性,HTTPS 协议变得至关重要。本教程将详细介绍如何在 WAS 9 或 WAS 8 上配置 ...
IBM_WAS简介.ppt IBM WebSphere应用服务器简介
04-30
IBM WebSphere 应用服务器是IBM Software Group推出的一款强大的企业级应用服务器,它在IT行业中占据了重要的市场地位。WebSphere 应用服务器以其强大的技术特点和广泛的兼容性赢得了用户的青睐。 首先,WebSphere ...
WebSphere应用服务器内存泄漏探测与诊断工具选择最佳实践
03-02
内存泄漏探测和诊断步骤2.WebSphere应用服务器中内存泄漏的探测工具3.Java虚拟机概要分析和详细垃圾回收4.TPV监视JVM的状况5.生成Heapdump文件6.内存泄漏的分析诊断工具-MDD4J7.小结参考资料本文介绍了如何在...
WebSphere was的概念
12-19
WebSphere was 基本概念,帮助你清晰了解基本概念。入门教程
Websphere入门之一_WAS6[1].0安装.pdf
07-16
Websphere入门之一_WAS6[1].0安装.pdfWebsphere入门之一_WAS6[1].0安装.pdfWebsphere入门之一_WAS6[1].0安装.pdfWebsphere入门之一_WAS6[1].0安装.pdfWebsphere入门之一_WAS6[1].0安装.pdf
websphere mq 学习
最新发布
08-17
IBM websphere mq产品的相关学习文档,基本概念,及用法介绍
Cookie在前端读不到 多半是因为Cookie在服务器端的设置HttpOnly 意味着只能在后台操作Cookie...
weixin_30466421的博客
01-18 2383
比如Shiro框架的 RememberMe Cookie 是不允许Js进行读写的 只能在服务器端通过同一个域的请求获得 import com.constantine.forum.exception.ForumException; import org.springframework.web.context.request.RequestContextHolder; imp...
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
WAS的具体设置和使用方法(转)
岭南六少
04-18 5244
 WAS的具体设置和使用方法       Microsoft Web Application Stress Tool 是由微软的网站测试人员所开发,专门用来进行实际网站压力测试的一套工具。透过这套功能强大的压力测试工具,您可以使用少量的Client端计算机仿真大量用户上线对网站服务所可能造成的影响,在网站实际上线之前先对您所设计的网站进行如同真实环境下的测试,以找出系统潜在的问题,对系统进

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值