【HttpOnly;Secure;】属性不适配的使用

已于 2023-08-28 14:48:12 修改
阅读量159 收藏
点赞数
文章标签: 前端 bug
于 2023-08-28 11:04:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44502128/article/details/132533581
版权

项目场景:

项目场景:项目在原有基础上合并了一个业务系统,并在业务系统的基础上添加了一个整体的系统框架,用户的登录验证也同时迁移到框架中。所以实际登录的流程变为了:用户登录系统框架->返回用户信息token存储到cookie->再次发送登录请求到业务系统->完成登录。

问题描述

由于安全需要,在网络架构上新增了“安全认证网关”服务。在实际登录时,发现登录后无法跳转到主页,一直返回登录的页面。

原因分析:

最终问题定位到响应头的set-cookie中,每条记录都增加了httpOnly;secure;的属性:

响应头中包含httpOnly;secure;

解决方案:

关闭安全网关中httpOnly;secure;的相关配置:

延申:

Cookie安全相关属性
HttpOnly :
在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
将HttpOnly 设置为true 防止程序获取cookie后进行攻击。
Secure :
安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
设置了Secure (没有值),则只有当使用https协议连接时cookie才可以被页面访问。可用于防止信息在传递的过程中被监听捕获后信息泄漏。

weixin_44502128
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookie的httponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Session Cookie的HttpOnlysecure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 2936
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
关于存储
Milk_o3o的博客
04-04 216
Web Storage Web Storage API 提供了存储机制,通过该机制,浏览器可以安全地存储键值对,比使用 cookie 更加直观。 Web Storage 存储的值都是字符串类型(在处理 json 数据时,需要借助 JSON 类(JSON.parse() & JSON.stringify())实现字符串与 json 转换)。 Window.sessionStorag...
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3193
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     置: <!-- 1. 置 Shiro 的
easypan前端学习(一)
pscool的博客
06-18 1665
v16.20.0node历史下载地址:https://nodejs.org/download/release/v16.20.0/
Cookie属性secureHttpOnly
ThinkStu的博客
11-17 7881
在 Cookie 中有两个非常重要的属性,分别是secureHttpOnly使用开发者工具(F12)即可快捷的查看到它们。
Cookie的securehttpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8150
Cookie的securehttpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
安全开发:Spring Boot 打开 HttpOnlySecure 属性
热门推荐
回纹勾边宝相花团
06-08 1万+
应用上线,需要修复安全问题,需要为 Cookie 设置 “HttpOnly” 和 “Secure属性HttpOnly 设置方法 置 默认值 说明 server.servlet.session.cookie.http-only true 是否对会话 cookie 使用 "HttpOnly"cookie。 默认 D:\learn\learn-java\spring-boot-high-concurrency>curl http://localhost:8080/stuff
Cookie 的属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 822
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
PHP设置Cookie的HTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
sessionsecurehttpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
软件测试总结(一)
天蓝蓝风轻轻
12-18 5032
1.什么是软件测试 软件测试定义:使用人工或者自动手段来运行或测试某个系统的过程,其目的在于检验它是否满足规定的需求或弄清预期结果与实际结果之间的差别。它是帮助识别开发完成(中间或最终的版本)的计算机软(整体或部分)的正确度(correctness) 、完全度(completeness)和质量(quality)的软件过程;是SQA(software quality assurance)的重要子域。 2.b/s和c/s的区别 B/S: 只用浏览器就能使用,浏览器端通过浏览程序(IE等)访问服务器,显示服务器
JavaScript基础学习
ljl_people的博客
07-20 285
JSJquery之断臂概述 1.什么是javascript? 1.1.概述 JavaScript(简称“JS”) 是一种具有函数优先的轻量级,解释型或即时编译型的高级编程语言。虽然它是作为开发Web页面的脚本语言而出名的,但是它也被用到了很多非浏览器环境中,JavaScript 基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式和声明式(如函数式编程)风格。 概述:JavaScript是只花了十天的就开发出来的编程语言,在这里博主手动劝退没有学过任何严谨编程语言如(C,JAVA)的闸总们,先不要学
Tornado 4.3文档翻译: web框架-RequestHandler和Application 类
weixin_34080571的博客
03-28 509
译者说 Tornado 4.3于2015年11月6日发布,该版本正式支持Python3.5的async/await关键字,并且用旧版本CPython编译Tornado同样可以使用这两个关键字,这无疑是一种进步。其次,这是最后一个支持Python2.6和Python3.2的版本了,在后续的版本了会移除对它们的兼容。现在网络上还没有Torna...
Java Web基础学习——Cookie&&Session
08-07 666
本文参与「少数派读书笔记征文活动」https://sspai.com/post/45653 参考文章:https://blog.csdn.net/jiangwei0910410003/article/details/23337043 遇到的问题: 1、jstl包的导入(Idea 2018.02):首先我通过File-&gt;Project Structure-&gt;Libraries直接添...
谈谈 cookie & session & jwt
liuqinhou的博客
07-30 208
session作为前端开发,在很长一段时间都不理解什么是session,直到慢慢学习后台开发后才彻底弄懂了什么是session。从前面一节的内容可以知道,cookie是保存在浏览器中的,即客户端,那session保存在哪呢?答案是服务端。当浏览器发送cookie到服务端之后,服务端怎么知道是哪个用户呢?也就是服务端是如何用cookie做登录验证的?客户端发送登录请求,服务端验证密码和用户名,如果都正确,服务端在响应头中会设置set-cookiekey-value为path=/;httpOnly;
picoCTF-Web Exploitation-Web Gauntlet
最新发布
huckers的博客
05-12 463
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用
httponly属性
09-22
HttpOnly属性是一种用于增强cookie安全性的属性。当设置了HttpOnly属性的cookie被发送给浏览器后,通过JavaScript脚本、Applet等程序将无法读取到该cookie的信息,从而有效地防止XSS攻击。换句话说,HttpOnly属性可以防止恶意脚本通过获取cookie信息进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值