Secure;HttpOnly

最新推荐文章于 2023-12-02 14:58:34 发布
最新推荐文章于 2023-12-02 14:58:34 发布
阅读量351 收藏
点赞数
分类专栏: 工作学习 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuzj1314/article/details/131848650
版权

今天登录项目的测试环境

一直提示验证码失效    看代码调试发现服务器始终获取不到session

找了很久的问题;后发现浏览器请求头显示set-Cookie............Secure!!!!!!!

随后百度了一下

";Secure;HttpOnly":这是新的Cookie属性,将会添加到原始Set-Cookie标头的末尾。其中 "Secure" 表示浏览器只会在使用HTTPS连接时发送此Cookie,而 "HttpOnly" 则表示该Cookie无法通过客户端脚本访问,增加了防范XSS攻击的安全性。

 测试环境是http   正式环境是https   应该是部署Apache   httpd.conf  没有改

查看httpd.conf  有一行

<VirtualHost *:80>
    UseCanonicalName off
    VirtualDocumentRoot "/usr/local/apache2/htdocs"
    ErrorLog logs/localhost_error.log
    ServerName localhost
    RemoteIPHeader X-Forwarded-For
    RemoteIPHeader X-Real-IP
 Header edit Set-Cookie ^(.*)$ $1;Secure;HttpOnly

 Header edit Set-Cookie ^(.*)$ $1;Secure;HttpOnly

去掉Secure就行

在Apache的httpd.conf文件中,这个配置行的作用是编辑HTTP响应中的Set-Cookie标头(Header),将所有的Cookie设置为"Secure"和"HttpOnly"。

具体来说,它使用正则表达式将原始的Set-Cookie标头捕获到的内容($1)放在新的Set-Cookie标头中,并在其后添加";Secure;HttpOnly"。这样做的目的是增加Cookie的安全性。

解释:

  • ^(.)$:这是一个正则表达式,匹配任何字符(除了换行符)的任意次数。"^"表示匹配字符串的开始,"$"表示匹配字符串的结束。括号 "(.)" 是捕获组,它将匹配的内容保存在变量 $1 中。
  • $1:表示捕获到的原始Set-Cookie标头的内容。
  • ";Secure;HttpOnly":这是新的Cookie属性,将会添加到原始Set-Cookie标头的末尾。其中 "Secure" 表示浏览器只会在使用HTTPS连接时发送此Cookie,而 "HttpOnly" 则表示该Cookie无法通过客户端脚本访问,增加了防范XSS攻击的安全性。

此配置行的效果是确保所有的Set-Cookie响应头都带有这两个属性,从而提高Cookie的安全性。

Java-请多指教
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Cookie中设置了 HttpOnlySecure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
weixin_34214500的博客
12-14 2334
属性介绍: 1) secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证, 如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 )HttpOnly属性如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)...
应用安全系列之二十:HTTP协议安全
jimmyleeee的专栏
03-18 1038
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 HTTP协议也提供了一些头用于提高安全,本章节主要是介绍一些常用的协议头和他们的作用,以及如何正确使用。 CORS HTTPonly Secure SameSite HSTS XSS-Protect X-Frame-Option Content-Security-Policy (CSP) 如果有不妥之处,希望可以留言指出。谢谢! 参考: https://cheatsheet...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookie的httponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie属性之secure、httponly
最新发布
weixin_44843710的博客
12-02 1464
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie的属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookie的secure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用
Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnlySecure,Expire属性
小兵qwer的专栏
08-16 8493
Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wang252949/article/details/79557963 Cookie访问控制 cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定...
Session Cookie的HttpOnlysecure属性
热门推荐
严老板的技术梦想博客
11-05 1万+
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了&quot;HttpOnly&quot;属性,那么通过程序(JS脚本、Applet等)将无法读取到Co...
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7947
在 Cookie 中有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
cookie的secure属性详解
09-03
Cookie是Web应用中用于存储用户状态的一种机制,它在客户端与服务器之间传递信息,常见的应用场景包括用户登录状态的保持、个性化...同时,结合HTTPOnly属性,可以进一步防止JavaScript注入攻击,增强Cookie的安全性。
PHP设置Cookie的HTTPONLY属性方法
12-18
3. **Cookie安全性**:除了HTTPOnly,还可以使用Secure标志(只在HTTPS连接中发送Cookie),以及SameSite属性(防止CSRF跨站请求伪造攻击)来提高Cookie的安全性。 4. **Cookie的读取**:在PHP中,可以通过`$_...
secure_headers:使用许多安全默认值管理安全头的应用
02-01
它还可以使用Secure,HttpOnly和SameSite属性标记所有http cookie。 这是默认设置,但可以使用config.cookies = SecureHeaders::OPT_OUT 。 secure_headers是一个具有全局配置,每个请求覆盖和机架
第九节 cookie的httponly设置-01
09-15
在上面的代码中,设置 secure 参数为 true,可以防止恶意脚本攻击。但是,这样做也可能会导致某些页面不能用。 总结 Cookie 是一种客户端存储机制,用于存储用户信息。Cookie 可以是临时的,也可以是持续的。...
Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
08-10
本文将深入探讨如何使用Express中间件来保护用户cookie,通过设置`HttpOnly`标志以及添加标记检查,以增强应用程序的安全性。 首先,理解`HttpOnly`标志至关重要。`HttpOnly`是服务器在设置cookie时可以添加的一个...
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Cookie 路径属性安全设置 ...然而,在某些情况下,Cookie 中的路径属性可能会泄露项目路径,导致安全风险。本文将介绍如何解决 Cookie 路径属性暴露问题。 Cookie 路径属性的危险 在服务器中的项目中,如果 Cookie...
Cookie(Secure和HttpOnly属性) JSESSIONID 刷新
Mr.Chen的博客
01-03 4130
目录 一:Cookie(Secure和HttpOnly属性) 二:JSESSIONID是什么 三:JSESSIONID 刷新 一:Cookie(Secure和HttpOnly属性)  基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出...
Cookie 的属性,HttpOnlySecure、Expire的作用
subsistent的博客
03-27 894
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
浅谈HTTP Cookie 的 Secure 和 HTTPONLY属性
m0_37477061的博客
03-07 903
https://blog.csdn.net/yylad/article/details/8053320
html5中http服务默认端口号,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_29570795的博客
06-27 790
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookie。Cookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
http请求报文中的secure和httponly
06-07
因此,设置Secure和HttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发中,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet中,可以通过HttpServletResponse的add...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java-请多指教

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值