利用HTTP-only Cookie缓解XSS之痛

最新推荐文章于 2024-05-17 01:48:00 发布
最新推荐文章于 2024-05-17 01:48:00 发布
阅读量211 收藏 1
点赞数
分类专栏: ajax 文章标签: 脚本 Tomcat Web 应用服务器 JavaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wen66/article/details/83935480
版权
详细介绍请看: http://netsecurity.51cto.com/art/200902/111143.htm

[size=medium]XSS与HTTP-only Cookie简介[/size]
跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。

这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。

像这样具有该属性的cookie被称为HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。下面是设置HTTP-only cookie的一个报头的示例: 

Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly


在java的web应用里, 我们要保护的有JSESSIONID这个cookie, 因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的. 所以这个cookie是不应该由客户端脚本来操作的, 它很适合用HttpOnly来标识它.

但很可惜的是, 只有到了jee6才正式提出这个[url=http://java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly%28boolean%29]api[/url]
对于之前的版本, 我们要如此编写代码 

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");


对于tomcat6已支持对JSESSIONID的cookie设置HttpOnly, 但是这个选项默认没有开启.
要开启的话, 我们要在 <Context>上进行设置, 使用属性[b]useHttpOnly[/b],
具体文档,请猛击[url=http://tomcat.apache.org/tomcat-6.0-doc/config/context.html]这里[/url]

参考:https://www.owasp.org/index.php/HttpOnly#Using_Java_to_Set_HttpOnly
web安全网站[url=https://www.owasp.org/]the open web application security Project[/url]
wen66
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Express模拟web安全之---xss的攻与防
01-26
XSS跨站脚本攻击】是Web应用中常见的安全漏洞之一,其全称为Cross Site Scripting。由于CSS(层叠样式表)的缩写相同,因此为了区分,将其缩写为XSS。攻击者利用XSS漏洞向网页中插入恶意的JavaScript代码,当用户...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
漏洞解决方案-HttpOnly设置
smart的博客
08-11 7540
漏洞解决方案-HttpOnly设置漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法 漏洞解决方案-HttpOnly设置 漏洞概述 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,HTTP-only cookie是一种用以缓解跨站脚本攻击的技术,如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS盗取用户cookie。 攻击步骤 测试并发现一个存在XSS漏洞网站。 通过XSS漏洞,插入恶意链接:
day38WEB攻防-通用漏洞&XSS跨站&绕过修复&http_only&CSP&标签符号
m0_69583059的博客
02-02 1288
本章知识点:1XSS跨站过滤绕过便签语句符号等2XSS跨站修复方案-CSP&函数&http_only等XSS绕过到331关卡绕过WP316-反射型直接远程调用window.location.href='' 表示指向跳转链接 document.cookie 表示获取cookie值317-反射型过滤318 319-反射型过滤320-326-反射型过滤空格327-存储型无过滤328-存储型注册插入JS。
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
2401_84969054的博客
05-17 436
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
XSS防注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4348
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 9741
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
利用HTTP-only Cookie缓解XSS
think_ycx的专栏
08-15 1039
原文地址 一、XSSHTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
xss-labs-master.rar
05-09
3. 使用HTTP-only cookies:设置HTTP-only标志,阻止JavaScript访问cookie,降低cookie被盗的风险。 4. 启用Content Security Policy(CSP):通过配置CSP,限制浏览器只执行指定来源的脚本。 四、XSS-labs-master...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
HTTP Only下的XSS攻击
永远是少年
11-23 1393
今天继续给大家介绍渗透测试相关知识,本文主要内容是HTTP Only下的XSS攻击。 一、设置HTTP Only后XSS攻击手段 二、表单劫持绕过HTTP Only获取用户名密码 三、读取浏览器记住的明文密码
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
《大学生职业生涯规划与就业指导》大一阶段课程作业
最新发布
07-24
《大学生职业生涯规划与就业指导》大一阶段课程作业
开题报告潮汕特产直销系统 已通过开题答辩的.doc
07-23
随着互联网的高速发展,人们的生活方式发生了翻天覆地的变化,在过去,人们想要购买很远地方的东西会非常麻烦,因为是通信和交通都不是十分的方便,而现在网络购物成为了人们日常生活中不可或缺的一部分。在这样的背景下,互联网与传统行业的融合已经成为了一种不可阻挡的趋势。对于中国特色的潮汕特产来说,这一趋势也带来了巨大的变革和发展机遇[1]。
Python性能优化:掌握性能分析工具的实战指南
07-23
Python是一种广泛使用的高级编程语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进来区分代码块,而不是使用大括号或关键词)。这使得Python被认为是一种易于学习的语言,同时具备强大的功能,适合初学者和经验丰富的程序员。 Python的主要特点包括: 1. **易于学习**:Python有相对较少的关键字,结构简单,和一个明确定义的语法。 2. **易于阅读**:Python代码定义的清晰度使得它像可执行伪代码。 3. **易于维护**:Python的成功在于它的源代码是相当容易维护的。 4. **广泛的标准库**:Python的标凑库很庞大,包含用于互联网通信、网络通信、数据压缩、加密、系统管理等的模块。 5. **跨平台**:Python可以在多种操作系统上运行,包括但不限于Windows、Mac OS X、Linux等。 6. **解释型语言**:Python是一种解释型语言,这意味着开发过程中没有编译步骤。 7. **动态类型系统**:Python不会在编写
Android学习系列之gradle实战
07-23
Android学习系列之gradle实战
RFC 3261中文版技术文档
07-23
**标题与描述解析** 标题"RFC 3261 中文文档"指的是互联网请求评论(Request for Comments)3261的中文版本。RFC 3261是互联网工程任务组(IETF)发布的一个重要标准,它定义了SIP(Session Initiation Protocol,会话初始协议)的核心规范。SIP是一种用于建立、修改和终止多媒体通信会话的协议,广泛应用于VoIP(Voice over IP,IP语音)和统一通信系统中。 描述同样简洁明了,只强调了这是RFC 3261的中文翻译,意味着对于中文读者来说,这个文档提供了一个理解SIP协议的中文语言资源。 **标签解析** "RFC3261 中文"标签进一步确认了文档的内容,表明这是关于RFC 3261的中文资料,便于搜索和分类。 **压缩包子文件的文件名称列表** 文件名为"RFC3261 中文.mht",这是一个单一网页文件,通常包含HTML、图像和其他资源,用于保存完整的网页内容。用户可以通过打开这个文件来查看RFC 3261的中文翻译。 **SIP协议详述** SIP协议是基于文本的,其设计类似于HTTP
-xmx -xms -xmn -xss
07-08
您的第一个问题是关于 JVM 的参数,分别是 -Xmx、-Xms、-Xmn 和 -Xss。 - -Xmx:指定 JVM 的最大堆内存大小,用于存放对象实例和数组。例如,-Xmx2g 将最大堆内存设置为 2GB。 - -Xms:指定 JVM 的初始堆内存大小,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值