1. 全栈程序员必看首页

HttpOnly的设置[通俗易懂]

全栈程序员-用户IM 未分类

HttpOnly的设置[通俗易懂]描述:1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。MicrosoftInternetExplorer版本6ServicePack1和更高…

大家好,又见面了,我是你们的朋友全栈君。

描述:

1.会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 

3.如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。 

4.如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。

解决方案:

CookieHttpOnlyFilter.java

 

  1. package org._common.filter;

  2.  

  3. import java.io.IOException;

  4. import java.text.SimpleDateFormat;

  5. import java.util.Calendar;

  6. import java.util.Date;

  7. import java.util.Locale;

  8.  

  9. import javax.servlet.Filter;

  10. import javax.servlet.FilterChain;

  11. import javax.servlet.FilterConfig;

  12. import javax.servlet.ServletException;

  13. import javax.servlet.ServletRequest;

  14. import javax.servlet.ServletResponse;

  15. import javax.servlet.http.Cookie;

  16. import javax.servlet.http.HttpServletRequest;

  17. import javax.servlet.http.HttpServletResponse;

  18. /**

  19. * 解决检测到会话cookie中缺少HttpOnly属性的问题

  20. * @author kf0101

  21. *

  22. */

  23. public class CookieHttpOnlyFilter implements Filter {

  24.  

  25. public void destroy() {

  26.  

  27. }

  28.  

  29. public void doFilter(ServletRequest request, ServletResponse response,

  30. FilterChain filterChain) throws IOException, ServletException {

  31. // TODO Auto-generated method stub

  32. HttpServletRequest req = (HttpServletRequest) request;

  33. HttpServletResponse resp = (HttpServletResponse) response;

  34. Cookie[] cookies = req.getCookies();

  35. if(cookies!=null){

  36. for(Cookie cookie : cookies){

  37. String value = cookie.getValue();

  38. StringBuilder builder = new StringBuilder();

  39. builder.append("JSESSIONID=" + value + "; ");

  40. builder.append("Secure; ");

  41. builder.append("HttpOnly; ");

  42. Calendar cal = Calendar.getInstance();

  43. cal.add(Calendar.HOUR, 1);

  44. Date date = cal.getTime();

  45. Locale locale = Locale.CHINA;

  46. SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);

  47. builder.append("Expires=" + sdf.format(date));

  48. resp.setHeader("Set-Cookie", builder.toString());

  49. }

  50. filterChain.doFilter(request, response);

  51. }

  52. }

  53.  

  54. public void init(FilterConfig arg0) throws ServletException {

  55. // TODO Auto-generated method stub

  56.  

  57. }

  58. }

web.xml:

 

  1. <filter>

  2. <filter-name>cookieHttpOnlyFilter</filter-name>

  3. <filter-class>org._common.filter.CookieHttpOnlyFilter</filter-class>

  4. </filter>

  5. <filter-mapping>

  6. <filter-name>cookieHttpOnlyFilter</filter-name>

  7. <url-pattern>/*</url-pattern>

  8. </filter-mapping>

 验证方式:查看浏览器设置(HttpOnly) Set-Cookie:  HttpOnly  

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/148410.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
全栈程序员-用户IM全栈程序员-用户IM
0 0


相关推荐

  • 云计算(1)—基础知识

    云计算(1)—基础知识

    云计算(1)—基础知识一、云计算概述   云计算到底是什么呢?在这个问题上,可谓众说纷纭。比如,在维基百科上的定义是“云计算是一种基于互联网的计算新方式,通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算”;著名咨询机构Gartner将云计算定义为“云计算是利用互联网技术来将庞大且可伸缩的IT能力集合起来作为服务提供给多个客户的技术”;而IBM则认为“云计算是一种新兴的IT服务交付方式,应用、数据…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月15日
  • 解决Discuz安装时报错“该函数需要 php.ini 中 allow_url_fopen 选项开启…”

    解决Discuz安装时报错“该函数需要 php.ini 中 allow_url_fopen 选项开启…”

    解决Discuz安装时报错“该函数需要 php.ini 中 allow_url_fopen 选项开启…”开启php的fsockopen函数——解决DZ论坛安装问题“该函数需要php.ini中allow_url_fopen选项开启。请联系空间商,确定开启了此项功能在安装dz论坛时遇到因为fsockopen()函数问题无法进入下一步,安装错误显示“该函数需要php.ini中allow_url_fopen选项开启。请联系空间商,确定开启了此项功能”,经过分析,总结了3个解决这个…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年7月21日
  • 前端游戏巨制! CSS居然可以做3D游戏了

    前端游戏巨制! CSS居然可以做3D游戏了

    前端游戏巨制! CSS居然可以做3D游戏了前言偶然接触到CSS的3D属性,就萌生了一种做3D游戏的想法.了解过css3D属性的同学应该都了解过perspective、perspective-origin、transform-st…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月7日
  • Ubuntu 16.04 更新源失败问题

    Ubuntu 16.04 更新源失败问题

    Ubuntu 16.04 更新源失败问题转载请注明出处转载请注明出处转载请注明出处在输入sudoapt-getupdate出现暂时不能解析域名“us.archive.ubuntu.com”折腾了一周,终于解决了解决办法:有用的点个赞先要吧源备份一个哦:sudocp/etc/apt/sources.list.d/ubuntukylin.list/etc/apt/sources.list.d/ubuntukylin.list

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年7月22日
  • 如何关闭ESLint,一次成功

    如何关闭ESLint,一次成功

    如何关闭ESLint,一次成功ESLint可以用来识别ECMAScript,并且按照规则给出报告的代码检测工具,使用它可以避免低级错误和统一代码的风格。但是有时候新手会被ESLint的报错阻止程序的运行,这时候我们就想关闭这个ESLint了。vue项目中关闭ESLint方法:找到build文件夹—>webpack.base.conf.js—->module然后重启服务,npmrundev就可以…

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年5月5日
  • uniapp清除浏览器缓存[通俗易懂]

    uniapp清除浏览器缓存[通俗易懂]

    uniapp清除浏览器缓存[通俗易懂]uni.clearStorage();

    全栈程序员-用户IM 全栈程序员-用户IM
    2022年7月18日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号