A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的;
B:服务端可以自定义建立Cookie对象及属性传递到客户端;
服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);
方法:
为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在tomcat6的conf/context.xml配置文件中配置:
<Context useHttpOnly="true">
为自定义Cookie及属性添加HttpOnly属性,在Set-Cookie头部信息设置时可以添加“HttpOnly”
验证:
1,抓包验证任意http响应的内容,确实任意客户端请求的回应包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”:
GET /monitor/ HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)
Accept-Encoding: gzip, deflate
Host: 192.168.245.1
Connection: Keep-Alive
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly
Set-Cookie: lang=zh; HttpOnly
Content-Type: text/html;charset=UTF-8
Content-Length: 2518
Date: Wed, 20 Jul 2016 08:14:42 GMT
2,在浏览器端调试js脚本,确实使用document.cookie读取在服务端设置的Cookie对象时,读取内容为空:
document.cookie ""
相关推荐
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,...
下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
完整获取webBrowser1的Cookie HttpOnly的Cookie
Express 中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
第九节 cookie的httponly设置-01
在mvc中验证如何存取cookie,并通过cookie的httponly属性防止cookie被jquery脚本窃取。
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
Extjs 关于cookie 实现实时存储 数据存储的操作, 将数据存放cookie中,防止断电
这是一个封装好的js对象函数,用于对cookie的增删改查。
下面小编就为大家带来一篇httpwebreqeust读取httponly的cookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1.... A cookie with this attribute is called an HTTP-only cookie.
.net 获取浏览器Cookie(包括HttpOnly)实例分享.docx
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。也就是说HttpOnly是为了对抗XSS后的Cookie劫持。 HttpOnly是在Set-Cookie时被标记的。服务器可能会设置多个Cookie,而HttpOnly可以有选择性地加在任何一...
来源:
介绍了.net 获取浏览器Cookie(包括HttpOnly)实例,有需要的朋友可以参考一下