Tomcat为Cookie设置HttpOnly属性 - Merrick's program - ITeye博客

`

fall10

浏览: 66689 次
性别:
来自: 常州

最近访客更多访客>>

limingnihao

heijian202

yxfaily

zjlinbin

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

Tomcat为Cookie设置HttpOnly属性

博客分类：

阅读更多

A：Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的；

B：服务端可以自定义建立Cookie对象及属性传递到客户端；

服务端建立的Cookie如果没有设置HttpOnly属性，则在客户端可以用js读取Cookie中的内容（客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击）；

方法：

为HttpSession安全性考虑，防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击，可在tomcat6的conf/context.xml配置文件中配置：

<Context useHttpOnly="true">

为自定义Cookie及属性添加HttpOnly属性，在Set-Cookie头部信息设置时可以添加“HttpOnly”

验证：

1，抓包验证任意http响应的内容，确实任意客户端请求的回应包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”：

GET /monitor/ HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)

Accept-Encoding: gzip, deflate

Host: 192.168.245.1

Connection: Keep-Alive

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

Set-Cookie: lang=zh; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 2518

Date: Wed, 20 Jul 2016 08:14:42 GMT

2，在浏览器端调试js脚本，确实使用document.cookie读取在服务端设置的Cookie对象时，读取内容为空：

document.cookie ""

分享到：

不同浏览器根据超链接的target属性查找ifra ... | JSP登录前后改变JSESSIONID

2016-07-20 17:00
浏览 2882
评论(0)
分类:互联网
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

cookie设置httpOnly和secure属性实现及问题: 该文档整合了cookie的httponly和secure的简介，已经设置该属性时会遇到的问题，以及设置属性的方式

Session Cookie的HttpOnly和secure属性: 如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。对于以上两个属性，首先，secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，...

PHP设置Cookie的HTTPONLY属性方法: 下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧

cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击.zip_js设置cookie值: java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击.zip

完整获取webBrowser1.Document.Cookie取不到HttpOnly的Cookie: 完整获取webBrowser1的Cookie HttpOnly的Cookie

Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在: Express 中间件用于保护cookie通过HttpOnly并添加标记检查是否存在

第九节 cookie的httponly设置-01: 第九节 cookie的httponly设置-01

mvc中cookie安全: 在mvc中验证如何存取cookie,并通过cookie的httponly属性防止cookie被jquery脚本窃取。

session配置secure和httpOnly: 本文档描述了关于cookie的http-only和secure的简介，和如何设置该属性，以及设置该属性会遇到的问题解决方法

Extjs 关于 cookie的操作: Extjs 关于cookie 实现实时存储数据存储的操作, 将数据存放cookie中，防止断电

js操作cookie: 这是一个封装好的js对象函数，用于对cookie的增删改查。

httpwebreqeust读取httponly的cookie方法: 下面小编就为大家带来一篇httpwebreqeust读取httponly的cookie方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧

Retrieve HttpOnly Session Cookie in WebBrowser: In order to help mitigate the risk of cross-site scripting, a new feature has been introduced in Microsoft Internet Explorer 6 SP1.... A cookie with this attribute is called an HTTP-only cookie.

.net 获取浏览器Cookie(包括HttpOnly)实例分享.docx: .net 获取浏览器Cookie(包括HttpOnly)实例分享.docx

Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly: Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题

Web应用安全：XSS的辅助性对策.pptx: 浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。也就是说HttpOnly是为了对抗XSS后的Cookie劫持。 HttpOnly是在Set-Cookie时被标记的。服务器可能会设置多个Cookie，而HttpOnly可以有选择性地加在任何一...

0x3x0xa#Penetration_Testing_POC-1#通过phpinfo获取cookie突破httponly1: 来源：

.net 获取浏览器Cookie(包括HttpOnly)实例分享: 介绍了.net 获取浏览器Cookie(包括HttpOnly)实例，有需要的朋友可以参考一下

Global site tag (gtag.js) - Google Analytics