applet遇到http-only cookie的处理方式

最新推荐文章于 2022-05-22 13:44:19 发布
最新推荐文章于 2022-05-22 13:44:19 发布
阅读量185 收藏
点赞数
分类专栏: 工作 经验 文章标签: Java Applet Web

问题发现:

      1、项目中用applet控件通过HTTP做一些数据的传输操作

      2、项目有用户权限控制,需要登录成功才能进行相关操作,发现用户未登录,则跳转到登陆页面

      3、项目有安全控制,cookie都设置成了http-only,http-only的cookie在js和applet中都是无法操作的

      4、通常情况,applet进行HTTP请求发送,只要直接访问目标地址即可,

           但在当前环境下,applet进行HTTP请求后,服务端响应的内容都是指向到了登陆页面

 

问题解决:

      1、通常情况下,用URL重写的方式,将如“JSSEIONID”这类cookie直接写在URL上

           但发现,这种方式无法达到目的

      2、加强处理,除了普通的URL重写,还加上“Path=/mywebroot; HttpOnly”

      3、经过加强处理后,URL连接不会重定向到登陆页面了,表示服务端已经能识别这是一个登陆过的用户

           但出现了另外一个问题,即服务端无法识别发送过来的请求路径,返回了505错误代码

      4、只能用别的办法处理了,即URL不重写,而是把cookie直接通过请求头的形式传递给服务端

 

示例:

      1、普通URL,http://mywebroot/myaction

           附带cookie,“myid=mysessionidxxxxxx”

           其中cookie为http-only的cookie

      2、

URL url = new URL("http://mywebroot/myaction");
URLConnection con = url.openConnection();
cookie = "myid=mysessionidxxxxxx; Path=/mywebroot; HttpOnly";
con.addRequestProperty("Cookie", cookie);
 
wuliwei85
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CCIE重认证--350-401-补充题库-也是必须的哟
stqer的博客
12-14 2282
实验,选择,拖图题
面试总结(1)---7.28
刘群智的博客
07-28 1597
Ajax关于readyState(状态值)和status(状态码)的研究 var getXmlHttpRequest = function () {     try{         //主流浏览器提供了XMLHttpRequest对象         return new XMLHttpRequest();     }catch(e){         //低版本的IE浏览器没有...
applet 操作cookie
gao_zhuang的专栏
06-23 675
applet 引用jia包:               JSObject mybrowser = JSObject.getWindow(obj); JSObject mydocument=(JSObject)mybrowser.getMember("document"); Date date=new Date();      Date end=new Date(date.getYear(
[小迪安全27天]绕过httponly
weixin_54252904的博客
06-06 3706
httponly(只是限制了cookie被盗取) HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 使用xss盗取的cookie为空 表单劫持(没有保存密码) 通过xss平台的表单劫持模块,填写目标表单所对应的属性 这里小
利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持
bylfsj的博客
03-21 4046
文章目录0×00. 前言 0×01. 前提条件0×02. 本次实验环境漏洞环境:使用到的工具: 0×03. 测试过程1) 事先插入一段xss代码2) 配置好用户端的hosts3)开始测试0×04. shell of the future 劫持会话原理图0×05. 不足 * 本文原创作者:ForrestX386,本文属Fr...
BurpSuite工具-HTTP协议详解部分(不懂就查系列)
学习、分享、交流
05-22 1658
HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(W W W = W orld W ide W eb)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。
HTTP 头部信息和错误码汇总详细解释,必收藏!
热门推荐
小北哥哥和北妈
05-31 1万+
最近在调试 前后端分离的请求测试,遇到了一个406错误, 无法接受,于是开始了人肉搜索406最后 还是HTTP头部信息里的Accept:application/json  这个Accept 导致的, 后端设置了只允许application/json 这种形式,so前端模拟请求的时候,你也要和后端沟通好,然后发送请求参数,就可以了!正好,也忘得差不多了,下面我们就来总结和回顾一下HTTP 的一些参数
2021-最新Web前端经典面试试题及答案-史上最全前端面试题(含答案)---JavaScript篇
m0_54853146的博客
03-07 445
★★ 介绍一下JS的内置类型有哪些? ★★★★ 介绍一下 typeof 区分类型的原理 ★★★ 介绍一下类型转换 ★★★★ 说说你对 JavaScript 的作用域的理解。什么是作用域链? ★★ 解释下 let 和 const 的块级作用域 ★★★★ 说说你对执行上下文的理解 ★★★ 对闭包的看法,为什么要用闭包?说一下闭包的原理以及应用场景?闭包的 this 指向问题? ★★★ 简述闭包的问题以及优化 ★★★ 如何确定 this 指向?改变 this 指向的方式有哪些? ★★★ 介绍箭头函数的 this
增加 cookie 安全性添加HttpOnly和secure属性
轻描淡写
10-12 5047
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
Cookie设置HttpOnly属性
weixin_34356138的博客
02-16 3103
在Servlet 3.0中增加对Cookie(请注意,这里所说的Cookie,仅指和Session互动的Cookie,即人们常说的会话Cookie)较为全面的操作API。最为突出特性:支持直接修改Session ID的名称(默认为“JSESSIONID”),支持对cookie设置HttpOnly属性以增强安全...
javaWEB总结(23):HttpSession URL重写
daochuwenziyao的博客
02-21 1042
以谷歌游览器为例 禁用session:设置->内容设置->阻止网站任何数据 session默认是通过cookie来保持状态的,所以当我们禁用了cookie后,只能通过URL重写的方式才能保持session的状态。 项目结构 web.xml javaWeb
cookie中存储的值设置httponly和secure
qq_28600087的博客
02-27 6059
最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。 首先什么是httponly和secure呢?是cookie中的两个属性 当设置了httponly为true时,通过js脚本是无法获取到cookie的信息的。防止XSS攻击。 secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。 设置sessionid...
【转】HTTP-only Cookie 脚本获取JSESSIONID的方法
weixin_34321977的博客
10-14 479
2019独角兽企业重金招聘Python工程师标准>>> ...
Java Applet教程:鼠标拖拽事件处理示例
本文主要介绍了如何在JAVA Applet中处理鼠标拖拽事件,以及JAVA Applet的基本概念、结构和运行机制。 在JAVA Applet中,鼠标拖拽事件处理是通过`mouseDragged(MouseEvent e)`方法实现的。这个方法在用户进行鼠标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值