1. 全栈程序员必看首页

HttpOnly的设置[通俗易懂]

全栈程序员-站长 未分类 阅读 35

HttpOnly的设置[通俗易懂]描述:1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。MicrosoftInternetExplorer版本6ServicePack1和更高…

大家好,又见面了,我是你们的朋友全栈君。

描述:

1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 

3.如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。 

4.如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。

解决方案:

CookieHttpOnlyFilter.java

 

  1. package org._common.filter;

  2.  

  3. import java.io.IOException;

  4. import java.text.SimpleDateFormat;

  5. import java.util.Calendar;

  6. import java.util.Date;

  7. import java.util.Locale;

  8.  

  9. import javax.servlet.Filter;

  10. import javax.servlet.FilterChain;

  11. import javax.servlet.FilterConfig;

  12. import javax.servlet.ServletException;

  13. import javax.servlet.ServletRequest;

  14. import javax.servlet.ServletResponse;

  15. import javax.servlet.http.Cookie;

  16. import javax.servlet.http.HttpServletRequest;

  17. import javax.servlet.http.HttpServletResponse;

  18. /**

  19. * 解决检测到会话cookie中缺少HttpOnly属性的问题

  20. * @author kf0101

  21. *

  22. */

  23. public class CookieHttpOnlyFilter implements Filter {

  24.  

  25. public void destroy() {

  26.  

  27. }

  28.  

  29. public void doFilter(ServletRequest request, ServletResponse response,

  30. FilterChain filterChain) throws IOException, ServletException {

  31. // TODO Auto-generated method stub

  32. HttpServletRequest req = (HttpServletRequest) request;

  33. HttpServletResponse resp = (HttpServletResponse) response;

  34. Cookie[] cookies = req.getCookies();

  35. if(cookies!=null){

  36. for(Cookie cookie : cookies){

  37. String value = cookie.getValue();

  38. StringBuilder builder = new StringBuilder();

  39. builder.append("JSESSIONID=" + value + "; ");

  40. builder.append("Secure; ");

  41. builder.append("HttpOnly; ");

  42. Calendar cal = Calendar.getInstance();

  43. cal.add(Calendar.HOUR, 1);

  44. Date date = cal.getTime();

  45. Locale locale = Locale.CHINA;

  46. SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);

  47. builder.append("Expires=" + sdf.format(date));

  48. resp.setHeader("Set-Cookie", builder.toString());

  49. }

  50. filterChain.doFilter(request, response);

  51. }

  52. }

  53.  

  54. public void init(FilterConfig arg0) throws ServletException {

  55. // TODO Auto-generated method stub

  56.  

  57. }

  58. }

web.xml:

 

  1. <filter>

  2. <filter-name>cookieHttpOnlyFilter</filter-name>

  3. <filter-class>org._common.filter.CookieHttpOnlyFilter</filter-class>

  4. </filter>

  5. <filter-mapping>

  6. <filter-name>cookieHttpOnlyFilter</filter-name>

  7. <url-pattern>/*</url-pattern>

  8. </filter-mapping>

 验证方式:查看浏览器设置(HttpOnly) Set-Cookie:  HttpOnly  

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/148410.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • Mac OS X中MacPorts安装和使用

    Mac OS X中MacPorts安装和使用

    Mac OS X中MacPorts安装和使用Mac下面除了用dmg、pkg来安装软件外,比较方便的还有用MacPorts来帮助你安装其他应用程序,跟BSD中的ports道理一样。MacPorts就像apt-get、yum一样,可以快速安装些软件。下面将MacPorts的安装和使用方法记录在这里以备查。访问官方网站http://www.macports.org/install.php,这里提供有dmg安装和源码安装两种方式,d…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月21日
    0
  • 修复QQ群图片不显示的方法:qq图片一直转圈圈,qq群聊天图片显示不出来[通俗易懂]

    修复QQ群图片不显示的方法:qq图片一直转圈圈,qq群聊天图片显示不出来[通俗易懂]

    修复QQ群图片不显示的方法:qq图片一直转圈圈,qq群聊天图片显示不出来[通俗易懂]我的电脑原来是可以显示群内图片的,发现qq里的图片过多,担心占空间不足,用qq设置里的文件清理,执行立即清理后,只清除了7天前的群聊图片,里面的还有很多大于7天前的群聊图片没有清理掉,我用手工,把我qq个人图片,D:\MyDocuments\TencentFiles\10151569\Image这个文件下的文件全部清空了,过后qq里的好友聊天和群聊图片,都不能显示了,卸掉qq后重新安装qq…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月10日
    5
  • 安卓网络接口_ap接入点模式

    安卓网络接口_ap接入点模式

    安卓网络接口_ap接入点模式Android的无线接口层(RIL)提供了Android电话服务(android.telephony)与无线电硬件之间的抽象层。RIL是通讯无关的,提供基于GSM的网络支持。       下图显示了RIL位于Android电话系统架构中的位置:  实线框表示Android部分,虚线框表示合作伙伴所专用的部分RIL包含两个基本部件:       RIL守护进程

    全栈程序员-站长的头像 全栈程序员-站长
    2025年6月6日
    0
  • Webstorm2020安装、使用详细教程

    Webstorm2020安装、使用详细教程

    Webstorm2020安装、使用详细教程WebStorm是jetbrains公司旗下一款JavaScript开发工具。已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScriptIDE”等。与IntelliJIDEA同源,继承了IntelliJIDEA强大的JS部分的功能。

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月15日
    78
  • linux配置本地yum源 百度经验_centos7yum源的配置

    linux配置本地yum源 百度经验_centos7yum源的配置

    linux配置本地yum源 百度经验_centos7yum源的配置由于redhat的yum在线更新是收费的,如果没有注册的话不能使用,如果要使用,需将redhat的yum卸载后,重启安装,再配置其他源,以下为详细过程:1.删除redhat原有的yumrpm-aq|grepyum|xargsrpm-e–nodeps2.下载yum安装文件wgetwgetwgetwget3.进行安装yumrpm-ivhpython-iniparse-0.3.1-2….

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月13日
    1
  • RxJava 操作符flatmap

    RxJava 操作符flatmap

    RxJava 操作符flatmap有如下场景:在前段调用后端的API时,经常会出现回调嵌套的情况。假设我们有两个API,queryA和queryB.并且queryB的运行依赖于queryA的结果。那么我们的程序在一般的情况下可能是这个样子。想象有如下的代码:是不是感觉非常不舒服?假如嵌套的API再多几层,那么这将是个灾难。一个人开发的时候可能不觉得有什么问题,但是可以想象做codereview或者新入项目组的同事

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月4日
    41

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号