Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性

最新推荐文章于 2024-01-15 09:56:37 发布
最新推荐文章于 2024-01-15 09:56:37 发布
阅读量8k 收藏 10
点赞数 2
分类专栏: 网站漏洞和安全 文章标签: 网站漏洞和安全
原文链接:https://blog.csdn.net/a19881029/article/details/27536917
版权

Cookie的secure和httpOnly属性的含义

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

本文链接:https://blog.csdn.net/wang252949/article/details/79557963

Cookie访问控制

cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定不行的,所以浏览器是不允许跨域访问cookie的,提高了Cookie的安全性。

在前面的文章 session和cookie介绍 中,已经介绍了cookie的作用域,主要是说一级域名相同情况下如何共享使用cookie。

如果想实现跨域访问,可以通过JSONP、CORS的方法实现。

另外,HTTP设置cookie时,提供了2个属性,可以增强cookie的安全性,分别是secure属性和httpOnly属性。

secure属性可防止信息在传递的过程中被监听捕获后导致信息泄露,如果设置为true,可以限制只有通过https访问时,才会将浏览器保存的cookie传递到服务端,如果通过http访问,不会传递cookie。

httpOnly属性可以防止程序获取cookie,如果设置为true,通过js等将无法读取到cookie,能有效的防止XSS攻击。

 

Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性

近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下:

1.1、攻击原理

  任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。

1.2、修复建议

  给cookie添加secure属性

1.3、修复代码示例

  1)服务器配置为HTTPS SSL方式

  2)Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:

  <session-config>
   <cookie-config>
    <secure>true</secure>
   </cookie-config>
  </session-config>

  3)ASP.NET的Web.config中进行如下配置:

   <httpCookies requireSSL="true" />

  4)php.ini中进行如下配置

  session.cookie_secure = True

  或者

  void session_set_cookie_params  ( int $lifetime  [, string $path  [, string $domain  
                                  [, bool $secure= false  [, bool $httponly= false  ]]]] )

  或者

  bool setcookie  ( string $name  [, string $value  [, int $expire= 0  [, string $path  
                 [, string $domain  [, bool $secure= false  [, bool $httponly= false  ]]]]]] )

  5)weblogic中进行如下配置:

  <wls:session-descriptor> 
      <wls:cookie-secure>true</wls:cookie-secure>
       <wls:cookie-http-only>true</wls:cookie-http-only>
   </wls:session-descriptor>

1.4、其它资料

  https://www.owasp.org/index.php/SecureFlag

1.5、实际修复方案

  方案一:项目使用的是WebShpere服务器,这个可以在服务器中进行设置: 

  其实这种修复方式和5.2修复建议2)给web.xml加配置的方式是一样的。这两种修复方式都是一定可以通过Appscan扫描的,只不过19环境需要支持https和http两种协议,以上两种方案的话,会导致http协议下的Cookie不能传输,从而导致http协议下的部分功能不能使用。现在暂时是以牺牲http协议下的功能不使用为代价以这种方案通过扫描的。

  方案二:

  如果给Cookie配置了secure属性,那么这个Cookie能在https协议中传输,但是不能在http协议中传输。而实际系统应用中要支持两种协议,这里可以通过request.getScheme()获取是哪种协议(这种方式https协议获取的也是http,奇怪,可以通过下面的方式判断是否是https协议)

  String url = req.getHeader("Referer");      

  if(url.startsWith("https")){}

  然后进行判断是否加这个属性:cookie.setSecure(true)。

  而这种方案的话,只能对后期自己代码响应的Cookie做设置,而不能对容器自动响应的Cookie做设置。因此这里没有使用。

 

会话cookie中缺少secure属性

2014年12月09日 14:34:35 茄子爱烤火 阅读数 15978

What is it and why do I care ?

Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.这些cookie中保存特定使用者的session ID标识,而且相同的session ID以及session生命周期内相关的数据也在服务器端保存。在web应用中最常用的session管理方式是通过每次请求的时候将cookies传送到服务器端来进行session识别。

你可以设置附加的secure标识来提示浏览器只能通过Https(加密方式)方式来传输cookie,Http(未加密方式)方式则不可以。这种方式来保证你的session cookie对于攻击者是不可见的,避免中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)。这并不是一个完美的session安全管理方案,却是一个重要的步骤。

what should I do about it ?

应对方法很简单。你必须在session cookie添加secure标识(如果有可能的话最好保证请求中的所有cookies都是通过Https方式传输)

如下是示例:未添加secure标识的session cookie-可能会被泄露

Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H;

添加secure标识:

Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H; secure;

方式很简洁。你可以甚至可以手工设置这个标识,如果你在Servlet3或者更新的环境中开发,只需要在web.xml简单的配置来实现。你只要在web.xml中添加如下片段:

<session-config>
  <cookie-config>
    <secure>true</secure>
  </cookie-config>
</session-config>

 

 

Cookie设置HttpOnly,Secure,Expire属性

2018年07月20日 17:03:04 绝不打铁 阅读数 1587

原文地址: https://blog.csdn.net/a19881029/article/details/27536917

Tomcat版本为6.0.39,JDK版本为1.6update45

在Web工程上增加一个Filter对Cookie进行处理

  1. public class CookieFilter implements Filter {

  2. public void doFilter(ServletRequest request, ServletResponse response,

  3. FilterChain chain) throws IOException, ServletException {

  4. HttpServletRequest req = (HttpServletRequest) request;

  5. HttpServletResponse resp = (HttpServletResponse) response;

  6.  

  7. Cookie[] cookies = req.getCookies();

  8.  

  9. if (cookies != null) {

  10. Cookie cookie = cookies[0];

  11. if (cookie != null) {

  12. /*cookie.setMaxAge(3600);

  13. cookie.setSecure(true);

  14. resp.addCookie(cookie);*/

  15.  

  16. //Servlet 2.5不支持在Cookie上直接设置HttpOnly属性

  17. String value = cookie.getValue();

  18. StringBuilder builder = new StringBuilder();

  19. builder.append("JSESSIONID=" + value + "; ");

  20. builder.append("Secure; ");

  21. builder.append("HttpOnly; ");

  22. Calendar cal = Calendar.getInstance();

  23. cal.add(Calendar.HOUR, 1);

  24. Date date = cal.getTime();

  25. Locale locale = Locale.CHINA;

  26. SimpleDateFormat sdf =

  27. new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);

  28. builder.append("Expires=" + sdf.format(date));

  29. resp.setHeader("Set-Cookie", builder.toString());

  30. }

  31. }

  32. chain.doFilter(req, resp);

  33. }

  34.  

  35. public void destroy() {

  36. }

  37.  

  38. public void init(FilterConfig arg0) throws ServletException {

  39. }

  40. }

web.xml:

 

  1. <filter>

  2. <filter-name>cookieFilter</filter-name>

  3. <filter-class>com.sean.CookieFilter</filter-class>

  4. </filter>

  5.  

  6. <filter-mapping>

  7. <filter-name>cookieFilter</filter-name>

  8. <url-pattern>/*</url-pattern>

  9. </filter-mapping>

FireFox:

Chrome:

IE:

小兵qwer
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置属性,以及设置属性会遇到的问题解决方法
Http协议中Cookie详细介绍
weixin_30448685的博客
03-19 574
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。 HTTP请求+co...
会话Cookie设置Secure属性漏洞
my的博客
01-15 1413
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
Cookie属性secure与HttpOnly
ThinkStu的博客
11-17 7824
Cookie 中有两个非常重要的属性,分别是secure与HttpOnly,使用开发者工具(F12)即可快捷的查看到它们。
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
热门推荐
ilqgffvramusm2864的博客
05-22 1万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 1813
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
web.xml配置cookie-config的secure为true时引发的血案
xiaozhuangyumaotao的博客
05-24 6733
一个普通的不能再普通的登录场景:登录成功之后把用户信息放入session: request.getSession().setAttribute("antiUser",user); 以后使用的时候再从session里面取出: AntiUserantiUser=(AntiUser)request.getSession().getAttribute("antiUser"); 本地运行没有任何问题,开玩笑,搞了那么多年java,这点功能还不是小意思?但是,接下来问题来了,当把项目部署到测试环境上...
Session CookieHttpOnlysecure属性
严老板的技术梦想博客
11-05 1万+
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了&quot;HttpOnly&quot;属性,那么通过程序(JS脚本、Applet等)将无法读取到Co...
浅析cookiehttponly
a7442358的专栏
12-21 1115
浅析cookiehttponly
setcookiehttponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookiehttponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
Cookie属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 797
设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
AccessControl-5.3-cp39-cp39-manylinux_2_5_i686.whl.zip
04-15
AccessControl-5.3-cp39-cp39-manylinux_2_5_i686.whl.zip
AccessControl-6.1-cp39-cp39-manylinux_2_5_x86_64.whl.zip
04-15
AccessControl-6.1-cp39-cp39-manylinux_2_5_x86_64.whl.zip
基于S128单片机智能赛车的设计
04-15
本文的目的是实现基于单片机智能赛车的设计,它是一种以规定的汽 车模型为载体,采用位微控制器为核心控制模块,通过自主设计电源电路,电 机驱动电路、道路光电传感器电路,硬件部分合理布局,同时编写配套程序,使其能够自 主识别路径的模型车。比赛时它能在规定赛道上,以最短时间跑完全程,且取得较好成绩, 论文整体包括:绪论,系统总体方案设计,车模机械部分设计改造,硬件电路部分设计制 作,软件部分设计,系统调试六章内容。 本文简单介绍了国内外智能车的发展概况,“飞思卡尔杯”智能车大赛起源以及我国 “飞思卡尔”杯全国智能车竞赛盛况。详细地阐述了该款智能赛车软硬件设计、制作、调试 的具体方法和过程。并对转向舵机,直流电机调速信号的控制做了一些研究。 主控模块,作为整个智能汽车的“大脑”,光电传感器、光电编码器 等传感器的信号,根据控制算法做出控制决策,驱动直流电机和伺服电机完成对智能汽车 的控制。传感器模块,是智能汽车的“眼睛”,可以通过一定的前瞻性,提前感知前方的 赛道信息,为智能汽车的“大脑”做出决策提供必要的依据和充足的反应时间。总之,电 源模块,为整个系统提供合适而又充足的能源。电机驱动模块,驱
AX3_Mercadopago-0.3.6-py3-none-any.whl.zip
最新发布
04-15
AX3_Mercadopago-0.3.6-py3-none-any.whl.zip
RealChar原生版本
04-15
数字人对话源码原生版本,为了更好地阅读源码可参考此版本,具体源码解析文章见:https://blog.csdn.net/eaglewood2005/article/details/137786309
php 设置cookie
07-31
在PHP中,可以使用setcookie函数来设置cookie。该函数的语法如下: setcookie(name, value, expire, path, domain, secure, httponly) 其中,name是cookie的名称,value是cookie的值,expire是cookie的过期时间,path是cookie的有效路径,domain是cookie的有效域名,secure表示是否仅通过安全的HTTPS连接传输cookiehttponly表示是否仅通过HTTP协议访问cookie。 例如,可以使用以下代码设置一个名为cookie_name的cookie,值为cookie_value,有效期为1小时,有效路径为根目录,有效域名为当前服务器域名,通过HTTPS连接传输,只能通过HTTP协议访问: setcookie("cookie_name", "cookie_value", time() + 3600, "/", $_SERVER['SERVER_NAME'], isset($_SERVER["HTTPS"]), true); [2] 另外,还可以使用header函数来设置cookie。例如,可以使用以下代码设置一个名为cookie_name1的cookie,值为"浏览器关闭失效",并且在浏览器关闭后失效: header("Set-Cookie:cookie_name1_cp=" . urlencode("浏览器关闭失效")); setcookie("cookie_name1", "浏览器关闭失效"); [3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值