安全03-修改WAS配置解决请求头中缺少httponly、secure字段问题

最新推荐文章于 2024-05-12 11:44:08 发布
最新推荐文章于 2024-05-12 11:44:08 发布
阅读量1k 收藏 1
点赞数
分类专栏: Java 安全 WAS 文章标签: java 中间件 was 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windows_apple/article/details/121659279
版权
Java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
安全
7 篇文章 0 订阅
订阅专栏
WAS
3 篇文章 0 订阅
订阅专栏

1.安全问题描述

1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息
2.secure属性设置为Flase时,Cookie存在被窃听的风险

2.问题如下图所示
在这里插入图片描述
3.修复方案

1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.httponly(v=vs.110).aspx

2.Cookie中的Secure属性,以下网址为详细介绍Cookie中的Secure属性:
https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.secure(v=vs.110).aspx

4.方案实施

遇到问题应用部署在WAS上,而WAS本身存在配置可以增加HttpOnly和Secure属性。
1.登录WAS控制台,点击进入应用配置
在这里插入图片描述
2.进入“会话管理”
在这里插入图片描述
3.点击“启用cookie”
请添加图片描述
4.如图勾选。勾选第一项,cookie自带secure;勾选第二项,cookie自带httponly。
在这里插入图片描述
5.保存,即可生效。

湛蓝新澄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 3120
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
加密会话(SSL)Cookie 缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookie,cookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
Django检测到会话cookie缺少HttpOnly属性手工复现
最新发布
2401_84972930的博客
05-12 267
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
WAS的具体设置和使用方法(转)
岭南六少
04-18 5231
 WAS的具体设置和使用方法       Microsoft Web Application Stress Tool 是由微软的网站测试人员所开发,专门用来进行实际网站压力测试的一套工具。透过这套功能强大的压力测试工具,您可以使用少量的Client端计算机仿真大量用户上线对网站服务所可能造成的影响,在网站实际上线之前先对您所设计的网站进行如同真实环境下的测试,以找出系统潜在的问题,对系统进
http请求头及相关说明
licheric的博客
10-19 598
1、用自己的语言描述get、post、Accept、Referer、User-Agent、host、cookie、X_Forwarded_for、Location各请求头的含义 GET:请求指定的页面信息 post:提交数据并进行处理请求 Accept:指定能接受的内容类型 Referer:指定网页的跳转来路 User-Agent:简称UA,记录用户所使用的系统和浏览器信息 host:指定的服务器域名或端口号 cookie:相当于身份证标识,用户浏览网站的信息记录 X_Forwarded_for:伪装访问链
Cookie 的属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 881
设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookie的httponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
session配置secure和httpOnly
03-16
2. 使用Filter实现:自定义Filter,捕获请求,检查是否为安全连接,然后在响应头设置`Set-Cookie`,包括`secure`和`HttpOnly`标志,以强制浏览器遵循安全策略。 总之,`secure`和`httpOnly`属性对于提高Web应用的...
secure_headers:使用许多安全默认值管理安全头的应用
02-01
安全标题 主分支代表6.x行。 有关如何请参阅 ,或 。 错误修复现在应该在5.x分支进行。 gem将自动应用与安全性相关的多个标头。 这包括: ... secure_headers是一个具有全局配置,每个请求覆盖和机架
Go-在Go编码和解码安全Cookie
08-13
在Go语言安全Cookie是Web应用程序用于保护用户会话数据的一种重要机制。它通过加密和签名来确保数据在传输过程的完整性和安全性。本文将深入探讨如何在Go编码和解码安全Cookie,以及相关的安全实践。 首先...
node.jsexpress-session配置项详解
12-23
官方地址:阅读 作用:用指定的参数创建一个session中间件,sesison...cookie:也就是session ID的cookie,默认是{ path: ‘/’, httpOnly: true, secure: false, maxAge: null }. var Cookie = module.exports = fun
基于WAS 的SSO实现方案
jeff lee的专栏
03-17 1182
摘要:通过这份文档将采用的SSO机制进行分析,并和其它SSO方案进行比较。 1 SSO定义 单点登录的英文名称为Single Sign-On,简写为SSO。在用户有权限访问的多个系统间,只要用户在其一个系统做过认证(Authentication)后,就不用再次做认证即可以访问其他系统。 IBM对SSO有一个形象的解释:“单点登录、全网漫游”。 2 WAS SSO机制介
会话Cookies未被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 8651
会话Cookies未被标记为HTTPOnly 漏洞描述 如果在cookie上设置HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie未设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie都设置HttpOnly标志。 除非你特别要求在你的应用程序,通过合法的
php7 setcookie无效_PHP设置Cookie的HTTPONLY属性方法
weixin_33091939的博客
01-14 616
httponly是微软对cookie做的扩展,这个主要是解决用户的cookie可能被盗用的问题。大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那...
TongWeb相关http安全设置方式
web的博客
12-16 7089
一、X-Frame-Options响应头配置 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站去,也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions设置该参数: -Dtongweb.X........
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
backerli的博客
09-25 5038
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
【新炬网络名师大讲堂】WAS控制台数据源信息无故丢失
12-16 186
问题描述: WAS控制台数据源信息无故丢失,但应用程序可以正常启动,查看resource.xml 可以查看到对应的jdbc 信息,因数据源文,xml显示是乱码,但控制台确找不到对应的设置信息。 解决办法: 采用...
前端学习笔记之 HTTP协议、存储、Ajax(十四)
FrebEaton的博客
12-16 2346
week14 HTTP协议、存储、Ajax 前端数据交互与HTTP协议 前后端通信 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <title>初识前后端通信</title> </head> <body> <script> // 1.前后端通信是什么 //
WebSphere安装配置文档
yyjyyj815的博客
11-09 1952
WebSphere安装配置文档 1、环境准备 标题
http请求报文secure和httponly
06-07
在HTTP请求报文Secure和HttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被途窃取或篡改。如果一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值