xss跨站攻击 cookie设置

最新推荐文章于 2024-04-18 17:08:14 发布
最新推荐文章于 2024-04-18 17:08:14 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: cookie 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wugouzi/article/details/49869775
版权
关于cookie的问题,很多时候遇到的是信息泄露,为什么会有信息泄露,首先要了解什么是xss跨站脚本攻击,xss跨站攻击简单来说就是插入恶意代码,或者劫持用户cookie,从而达到操纵系统的目的。
因此在浏览器上设置cookie的只读属性是安全的。
设置方法如下两步:

     第一步:定义 一过滤器方法:

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;

	    Cookie[] cookies = req.getCookies();

	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支持在Cookie上直接设置HttpOnly属性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}

	public void destroy() {
	}

	public void init(FilterConfig arg0) throws ServletException {
	}
}

第二步:web过滤器设置 

<filter>
    	<filter-name>cookieFilter</filter-name>
    	<filter-class>com.creditease.component.common.util.CookieFilter</filter-class>
</filter>
<filter-mapping>
    	<filter-name>cookieFilter</filter-name>
    	<url-pattern>/*</url-pattern>
</filter-mapping>

设置效果如下


冯索
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie 跨域
07-24
应某网友请求,做的一个Cookie跨域的简单演示 请将HTML和PHP文件放入不同的域名下测试,然后修改下面Js的调用地址
跨站设置 Cookie
weixin_43536737的博客
04-21 2679
网站跨站点实现单点登录的实现前言实现方法跨子域(Across-Subdomains)完全跨域(Across-Domains)用户首次单点登录用户跨站访问用户退出登录结语参考资料 前言 网站的用户身份验证往往使用 Cookie 技术。用户在一个网站进行登录以及身份验证的过程一般为: 在登录页面进行登录后,将登录用户的用户名等信息加密后写在本地浏览器中,也就是一个 Cookie,我们把这个 Cookie 叫做票(Ticket)。 需要判断用户是否登录的页面,需要读取相应 Ticket,并从中解密出用户信息,
XSS漏洞---cookie+session介绍
最新发布
zhoutong2323的博客
04-18 453
setcookie是一种用于在客户端浏览器上设置HTTP cookie的方法通过设置cookie,服务器可以将数据存储在客户端浏览器中,以便在客户端请求相同网站时使用这些数据。setcookie函数用于设置cookie的名称、值、过期时间、路径等参数。Cookie最开始设计出来是用于弥补HTTP协议是无状态协议的缺点,HTTP协议的这种特性最直观的现象是:当我们每次登录同一个网站时都需要输入账号密码进行登录;然而,cookie的出现解决了这一缺点。
设置cookie的时候方式XSS***
weixin_33701564的博客
11-28 106
大家知道XSS***中很多都是为了获取用户的cookie信息,采用最多的方式就是通过js设置src的方式把cookie传输到别的服务器。 那我们该怎么防止js获取cookie呢,这里有一个简单的办法,以PHP为例,我们在setcookie的时候很少写后面的参数,基本上写到日期就行了,其他走默认就好,看一下他的参数设置boolsetcookie...
跨站设置cookie
weixin_33976072的博客
10-31 345
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS跨站脚本盗取Cookie
Rxk17805428997的博客
10-27 2755
一、XSS跨站脚本如何理解 A站访客受到的XSS攻击的代码是来自于B站而不是A站原本就有的脚本代码所以称为跨站 二、XSS跨站脚本攻击的几个主体 1、攻击者 2、攻击服务器(IP:192.168.1.32) 3、受害者 4、受害站点(IP:192.168.1.89) 三、攻击流程 1、用户正常访问受害站点,站点发送给浏览器cookie,浏览器保存cookie到本地 2、攻击者构造恶意链接或者恶意网页并诱使用户点击或访问,恶意网页index.html内容如下 ``` &l..
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,存在一个可能导致XSS攻击的风险,即当URL参数中包含恶意脚本时,ThinkPHP的异常...
xss跨站脚本攻击与预防
11-04
**XSS跨站脚本攻击详解** XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击...
XSS跨站脚本攻击课件
11-24
XSS跨站脚本攻击】详解 XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意...
cookie跨站脚本漏洞解决方案
a7412605567的博客
10-17 297
近日项目碰到一个跨脚本注入的问题: 这安全测评工具也是厉害了,直接将脚本注入到cookie里头,以前没有碰到这样的情况。 之前写过一篇文章过滤跨脚本注入的问题。《浅谈XSS攻击原理与解决方法》关于跨脚本注入的问题,不晓得原理的同学可以看下。但是里头没有处理cookie注入的问题。接下来介绍下如何处理。 关键代码在这里:首先获取到cookie,检查下是否有敏感字符,如果有的话,就...
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1373
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
跨站、跨域、cookie注入
Trifling_的博客
08-07 1589
简述 之前对cookie相关知识一直零零碎碎,最近工作中遇到些点相关问题,于是又整体重新梳理了一面,算是一个总结。 本章主要介绍如何跨域、跨站注入cookie,以及踩过过的一些。 文章所用到的URL说明 http://dev.proxy.com:3000/ 浏览器访问URL http://dev.fws.proxy.com:3001/跨域接口URL http://dev.other.com:3001/跨站接口URL 概念 跨站(cross-site):两个 URL 的 eTLD+...
XSS攻击——cookie
qq_46277212的博客
06-23 1887
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
cookie XSS跨站脚本攻击 localStorage sessionStorage
weixin_45348067的博客
02-13 866
cookie 1、根据域名和路径进行存储 2、只能存储文本信息 3、只存储在指定的位置,不能随意改变位置 4、cookie后来都做了加密隐藏处理,现在无法直接找到cookie文件内容 5、cookie只能做临时存储,如果关闭浏览器,数据将会丢失 在cookie使用中,主要用于前后端不分离,如果前后端分离,使用AJAX发送时是不同的前后端不分离时,cookie会被自动携带发送到服务端,前后端不分离通...
cookiexss攻击、WebStorage
tx_blogs的博客
08-06 190
cookie cookie的定义 cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据 cookie就是页面用来保存信息,比如自动登录,用户名 cookie作用 cookie的主要作用是保存信息,并与服务器互动,因此在很多情况下都可以使用到cookie。 密码 cookie:访当问者首次访问页面时,也许会填写密码。密码也可被存储于 cookie 中。当他们再次访问网站时,密码就会从 cookie 中取回
cookiexss及存储
超cccccccc的博客
08-14 352
cookiexss及存储 1、cookie cookie就是一些信息以文件的形式存储在客户端计算机上,当用户访问某个网站时可以通过cookie向访问电脑上存储数据。 cookie的作用:在浏览器中进行数据的存储,用户名,密码; cookie的存储数据类型为字符串类型,存储的容量有5kb; cookie默认是临时存储的,当浏览器关闭时自动销毁。 cookie 的作用域为当前域,有文件夹路径的区分,域中的文件夹存储 存储的位置都是以这个域作为存储空间的,别的域不能访问 1、刷新页面是可以使用 2、跳转到当前域
【网络安全XSSCookie外带攻击姿势及例题详析
等风来
05-19 7099
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS跨站脚本攻击)漏洞进行的攻击攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
理解与防范XSS跨站攻击:从基础到实战
XSS跨站攻击课程.pdf” XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它发生在Web应用程序中,由于程序未能充分验证和过滤用户提供的输入,导致恶意脚本能够在用户浏览器中执行。这门课程全面覆盖了XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值