1. 全栈程序员必看首页

HttpOnly的设置[通俗易懂]

全栈程序员-站长 未分类 阅读 38

HttpOnly的设置[通俗易懂]描述:1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。MicrosoftInternetExplorer版本6ServicePack1和更高…

大家好,又见面了,我是你们的朋友全栈君。

描述:

1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 

3.如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。 

4.如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。

解决方案:

CookieHttpOnlyFilter.java

 

  1. package org._common.filter;

  2.  

  3. import java.io.IOException;

  4. import java.text.SimpleDateFormat;

  5. import java.util.Calendar;

  6. import java.util.Date;

  7. import java.util.Locale;

  8.  

  9. import javax.servlet.Filter;

  10. import javax.servlet.FilterChain;

  11. import javax.servlet.FilterConfig;

  12. import javax.servlet.ServletException;

  13. import javax.servlet.ServletRequest;

  14. import javax.servlet.ServletResponse;

  15. import javax.servlet.http.Cookie;

  16. import javax.servlet.http.HttpServletRequest;

  17. import javax.servlet.http.HttpServletResponse;

  18. /**

  19. * 解决检测到会话cookie中缺少HttpOnly属性的问题

  20. * @author kf0101

  21. *

  22. */

  23. public class CookieHttpOnlyFilter implements Filter {

  24.  

  25. public void destroy() {

  26.  

  27. }

  28.  

  29. public void doFilter(ServletRequest request, ServletResponse response,

  30. FilterChain filterChain) throws IOException, ServletException {

  31. // TODO Auto-generated method stub

  32. HttpServletRequest req = (HttpServletRequest) request;

  33. HttpServletResponse resp = (HttpServletResponse) response;

  34. Cookie[] cookies = req.getCookies();

  35. if(cookies!=null){

  36. for(Cookie cookie : cookies){

  37. String value = cookie.getValue();

  38. StringBuilder builder = new StringBuilder();

  39. builder.append("JSESSIONID=" + value + "; ");

  40. builder.append("Secure; ");

  41. builder.append("HttpOnly; ");

  42. Calendar cal = Calendar.getInstance();

  43. cal.add(Calendar.HOUR, 1);

  44. Date date = cal.getTime();

  45. Locale locale = Locale.CHINA;

  46. SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);

  47. builder.append("Expires=" + sdf.format(date));

  48. resp.setHeader("Set-Cookie", builder.toString());

  49. }

  50. filterChain.doFilter(request, response);

  51. }

  52. }

  53.  

  54. public void init(FilterConfig arg0) throws ServletException {

  55. // TODO Auto-generated method stub

  56.  

  57. }

  58. }

web.xml:

 

  1. <filter>

  2. <filter-name>cookieHttpOnlyFilter</filter-name>

  3. <filter-class>org._common.filter.CookieHttpOnlyFilter</filter-class>

  4. </filter>

  5. <filter-mapping>

  6. <filter-name>cookieHttpOnlyFilter</filter-name>

  7. <url-pattern>/*</url-pattern>

  8. </filter-mapping>

 验证方式:查看浏览器设置(HttpOnly) Set-Cookie:  HttpOnly  

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/148410.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • golang deepcopy_mongodb主从复制原理

    golang deepcopy_mongodb主从复制原理

    golang deepcopy_mongodb主从复制原理Go语言中所有赋值操作都是值传递,如果结构中不含指针,则直接赋值就是深度拷贝;如果结构中含有指针(包括自定义指针,以及切片,map等使用了指针的内置类型),则数据源和拷贝之间对应指针会共同指向同一块内存,这时深度拷贝需要特别处理。目前,有三种方法,一是用gob序列化成字节序列再反序列化生成克隆对象;二是先转换成json字节序列,再解析字节序列生成克隆对象;三是针对具体情况,定制化拷贝。前两种方法虽……

    全栈程序员-站长的头像 全栈程序员-站长
    2022年10月2日
    3
  • 数据库:MySQL 修改密码

    数据库:MySQL 修改密码

    数据库:MySQL 修改密码1.改动数据库配置表编辑/etc/my.cnf,在配置表后方加入“skip-grant-tables”,意思是跳过跳过授权表,即不再坚定账号密码的正确性,使用servicemysqldrestart重启mysql,输入mysql-uroot-p,直接回车进入数据库命令行。2.更改密码MySQL5.7之前的版本修改密码使用的语句是:UPDATEuserSETPassword=PASSWORD(‘yourpassword’)whereUSER=’root’;5.7之

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月16日
    21
  • 【Android】Mac系统Android开发环境搭建

    【Android】Mac系统Android开发环境搭建

    【Android】Mac系统Android开发环境搭建第一步检查下自己的电脑上有没有安装JDK,通过在终端中输入”java-version”,可以得到检验。第二步如果没有安装JDK,请移步Oracle官网的下载中心进行下载(需要登录Oracle账号和同意协议才能下载)【https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html】(官网下载速度是真心慢,我后面从其他网站上下载了一个JDK,搜索“JDKforMac下载”,也可以到中文社区下载

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月23日
    17
  • PS选区复制_ps怎么取消选区

    PS选区复制_ps怎么取消选区

    PS选区复制_ps怎么取消选区1.选区选中之后,利用移动工具,按住alt键,拖动即可复制所选区域。ps:再一个图层上操作。2.选区选中之后,Ctrl+c、Ctrl+v复制粘贴,按Ctrl+T移动。ps:新建一个图层操作,不

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月3日
    9
  • Spring boot + Spring Security 多种登录认证方式配置(二)

    Spring boot + Spring Security 多种登录认证方式配置(二)

    Spring boot + Spring Security 多种登录认证方式配置(二)

    全栈程序员-站长的头像 全栈程序员-站长
    2021年8月31日
    68
  • 通配符掩码的应用 ACL 访问控制列表

    通配符掩码的应用 ACL 访问控制列表

    通配符掩码的应用 ACL 访问控制列表ACL(AccessControlList)访问控制列表在作为数据包的过滤器以及在对指定的某种类型的数据包的优先级,起到了对某些数据包的优先级起到了限制流量的作用,减少了网络的拥塞。通配符掩码作为ACL中重要的一部分,是路由器在进行访问控制时必不可少的重要部件,那么什么是通配符掩码呢?通配符掩码:路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围,在访问控制列表中,将通…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月19日
    16

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号