web渗透测试—-33、HttpOnly[通俗易懂]

web渗透测试—-33、HttpOnly[通俗易懂]HttpOnly是微软公司的InternetExplorer6SP1引入的一项新特性。这个特性为cookie提供了一个新属性,用以阻止客户端脚本访问Cookie,至今已经称为一个标准,几乎所有的浏览器都会支持HttpOnly。下面示例显示了HTTP响应标头中HttpOnly使用的语法:Set-Cookie:<name>=<value>[;<Max-Age>=<age>]`[;expires=<date>][;domain=&lt

大家好,又见面了,我是你们的朋友全栈君。

HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性,用以阻止客户端脚本访问Cookie,至今已经称为一个标准,几乎所有的浏览器都会支持HttpOnly。
下面示例显示了HTTP响应标头中HttpOnly使用的语法:

Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
`[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]

如果HTTP响应标头包含HttpOnly,则无法通过客户端脚本访问Cookie;因此,即使系统存在跨站脚本攻击,并且用户不小心访问了利用此缺陷的链接,浏览器也不会将Cookie泄露给第三方。
如果支持HttpOnly的浏览器检测到包含HttpOnly标志的Cookie,并且客户端脚本代码尝试读取Cookie,则浏览器将返回一个空字符串作为结果,以阻止XSS代码将数据发送到攻击者的网站,从而导致攻击失败。

使用 Java 设置 HttpOnly:
从采用 Java Servlet 3.0 技术的 Java Enterprise Edition 6 (JEE6) 开始,就可以在 cookie 上以编程方式设置 HttpOnly 标志。JEE6、JEE7 都可以通过isHttpOnly方法设置HttpOnly :

cookie.setHttpOnly(true);

此外,从 JEE 6 开始,HttpOnly 通过以下配置,去设置HttpOnly:

<session-config>
   <cookie-config>
    <http-only>true</http-only>
   </cookie-config>
</session-config>

对于JEE 6之前的Java Enterprise Edition 版本,常见的解决方法是:SET-COOKIE,使用会话cookie值覆盖HTTP响应标头,该值显式附加HttpOnly标志:

String sessionid = request.getSession().getId();
// be careful overwriting: JSESSIONID may have been set with other flags
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

在这种情况下,尽管对HttpOnly 标志合适,但不鼓励覆盖,因为 JSESSIONID 可能已设置为其他标志。更好的解决方法是处理先前设置的标志或使用ESAPI#Java_EE库,我们可以编写一个 servlet 过滤器,如下所示:SecurityWrapperResponse

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { 
   
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    HttpServletResponse httpServletResponse = (HttpServletResponse) response;
    // if errors exist then create a sanitized cookie header and continue
    SecurityWrapperResponse securityWrapperResponse = new SecurityWrapperResponse(httpServletResponse, "sanitize");
    Cookie[] cookies = httpServletRequest.getCookies();
    if (cookies != null) { 
   
        for (int i = 0; i < cookies.length; i++) { 
   
            Cookie cookie = cookies[i];
            if (cookie != null) { 
   
                // ESAPI.securityConfiguration().getHttpSessionIdName() returns JSESSIONID by default configuration
                if (ESAPI.securityConfiguration().getHttpSessionIdName().equals(cookie.getName())) { 
   
                    securityWrapperResponse.addCookie(cookie);
                }
            }
        }
    }
    filterChain.doFilter(request, response);
}

一些实现JEE5的Web应用程序服务器和实现Java Servlet 2.5(JEE 5 的一部分)的servlet 容器也允许创建HttpOnly会话cookie:
Tomcat 6在context.xml设置的Context属性useHttpOnly 如下:

<?xml version="1.0" encoding="UTF-8"?>
<Context path="/myWebApplicationPath" useHttpOnly="true">
JBoss 5.0.1和JBOSS EAP 5.0.1在 server <myJBossServerInstance> \deploy\jbossweb.sar\context.xml 设置SessionCookie标签 5如下:
<Context cookies="true" crossContext="true">
    <SessionCookie secure="true" httpOnly="true" />

IBM Websphere为会话 cookie 提供 HTTPOnly 作为配置选项,使用 .NET 设置 HttpOnly,在 .NET 2.0 中,还可以通过 HttpCookie 对象为所有自定义应用程序 cookie 设置 HttpOnly。

<httpCookies httpOnlyCookies="true"> 

或以编程方式
C# 代码:

HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);

VB.NET 代码:

Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

但是,在.NET 1.1 中,必须手动执行此操作:

Response.Cookies[cookie].Path += ";HttpOnly";

使用 Python 设置 HttpOnly:
要在 Cherrypy 会话中使用 HTTP-Only cookie,只需在配置文件中添加以下行:

 tools.sessions.httponly = True 
 如果使用 SLL,还可以避免中间人攻击:
  tools.sessions.secure = True

使用 PHP 设置 HttpOnly:
PHP 从 5.2.0 开始支持设置 HttpOnly 标志,对于由 PHP 管理的会话 cookie,通过在php.ini中设置HttpOnly:

session.cookie_httponly = True

或通过函数:

void session_set_cookie_params  ( int $lifetime  [, string $path  [, string $domain[, bool $secure= false  [, bool $httponly= false  ]]]] )

对于应用程序 cookie, setcookie() 中的最后一个参数设置 HttpOnly :

bool setcookie  ( string $name  [, string $value  [, int $expire= 0  [, string $path[, string $domain  [, bool $secure= false  [, bool $httponly= false  ]]]]]] )

Web 应用程序防火墙:
如果代码更改不可行,可以使用 Web 应用程序防火墙将 HttpOnly 添加到会话 cookie:

Mod_security - 使用 SecRule 和 Header 
ESAPI WAF 9 使用add-http-only-flag 
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/147505.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • U盘安装window系统[通俗易懂]

    U盘安装window系统[通俗易懂]U盘安装window系统:1.制作系统启动U盘,推荐使用老毛桃。2.电脑上插入U盘,启动系统,选择U盘启动。3.进入老毛桃选择界面,选择生成PE系统。推荐win8,之前在一个戴尔电脑上使用win

  • 【kafka运维】Kafka全网最全最详细运维命令合集(精品强烈建议保存)

    【kafka运维】Kafka全网最全最详细运维命令合集(精品强烈建议保存)本文所有命令,博主均全部操作验证过,保证准确性;非复制粘贴拼凑文章;如果想了解更多工具命令,可在评论区留下评论,博主会择期加上;kafka-topics.sh、kafka-configs.sh、kafka-reassign-partitionskafka-console-producer.sh、kafka-console-consumer.sh、kafka-leader-election、kafka-verifiable-producer.sh、kafka-verifiable-consumer、

  • mysql longtext_MySql中LongText类型大字段查询优化

    mysql longtext_MySql中LongText类型大字段查询优化在本次项目表结构中,有一个longtext字段,用于存储长文本,仅万条数据,InnoDB存储文件就达G级,由于是一个小项目,受限于服务器与运维人员水平,不适合使用hdfs,MongoDB等拓展技术栈来解决这种问题,因此直接对mysql存储进行优化,快速解决,利于维护。涉及mysql基础知识一、innodb存储引擎的处理方式1.mysql在操作数据的时候,以page为单位不管是更新,插入,删除一行数…

  • 鸿蒙系统v30能用吗_v30pro升级鸿蒙系统使用感受

    鸿蒙系统v30能用吗_v30pro升级鸿蒙系统使用感受鸿蒙鸿蒙发布在gitee上https://gitee.com/openHarmony入门指导,以Hi3516DV300为例https://gitee.com/openharmony/docs/tree/master/quick-start搭建环境在ubuntu18.4上,环境搭建可参考gitee上的入门的指导,编译顺利通过后,回头重点理一下:安装Pythonsudoaptinstall-ypythonsudoaptinstall-ypython3下载编译工具w

  • couldn’t transfer artifact_could not convert from to

    couldn’t transfer artifact_could not convert from toCouldnottransferartifactxxxfrom/toxxx解决方案问题描述解决步骤问题描述本地仓库有对应的jar包,但是maveninstall一直提示Couldnottransferartifact。折腾了我老半天Failedtoreadartifactdescriptorfor*:Couldnottransferartifact…

  • 存储结构二叉树

    存储结构二叉树

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号