【系统安全】cookie未设置Httponly属性和未设置Secure标识

2024-03-19 03:58

本文主要是介绍【系统安全】cookie未设置Httponly属性和未设置Secure标识,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

第三方公司做了系统安全测试,提出了这个问题。

详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。
 
HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。
 
如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。
 
如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。
解决办法向所有会话cookie中添加“HttpOnly”属性。
Java示例:
HttpServletResponse response2 = (HttpServletResponse)response;
//response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
response2.addHeader( "Set-Cookie", "name=value; HttpOnly");

解决方式:使用过滤器为每一个cookie添加HttpOnly

在web.xml中加入拦截器:

<!--cookie 设置httponly和secure--><filter><filter-name>cookieFilter</filter-name><filter-class>cn.**.**.**.security.CookieFilter</filter-class></filter><filter-mapping><filter-name>cookieFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

CookieFilter.java内容如下:

public class CookieFilter implements Filter {public static final Logger logger = Logger.getLogger(CookieFilter.class);@Overridepublic void init(FilterConfig filterConfig) throws ServletException {logger.info("Cookie filter started.");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) servletRequest;HttpServletResponse resp = (HttpServletResponse) servletResponse;Cookie[] cookies = req.getCookies();if(cookies != null) {StringBuilder builder = new StringBuilder();for(int i = 0; i < cookies.length; i++) {Cookie cookie = cookies[i];builder.append(cookie.getName() + "=" + cookie.getValue() + ";Secrue;HttpOnly;");//防止js读取cookiecookie.setHttpOnly(true);}//resp.setHeader("Set-Cookie", builder.toString());resp.addHeader("Set-Cookie", builder.toString());}filterChain.doFilter(req, resp);}@Overridepublic void destroy() {logger.info("Cookie filter finished.");}
}

在设置Set-Cookie的时候,用addHeader,如果用setHeader的话,就只是设置一个cookie值得头信息限制,其实在平时会有很多cookie里的主要参数信息需要限制,有的消息也会有不同的浏览器可以存储的时间,所有要一个一个遍历出来设置Cookie的信息。

 

另外:也可以设置过期时间。

public class CookieFilter implements Filter {public static final Logger logger = Logger.getLogger(CookieFilter.class);@Overridepublic void init(FilterConfig filterConfig) throws ServletException {logger.info("Cookie filter started.");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) servletRequest;HttpServletResponse resp = (HttpServletResponse) servletResponse;Cookie[] cookies = req.getCookies();if(cookies != null) {StringBuilder builder = new StringBuilder();for(int i = 0; i < cookies.length; i++) {Cookie cookie = cookies[i];builder.append(cookie.getName() + "=" + cookie.getValue() + ";Secrue;HttpOnly;");//防止js读取cookiecookie.setHttpOnly(true);//设置过期时间Calendar cal = Calendar.getInstance();cal.add(Calendar.HOUR, 1);Date date = cal.getTime();Locale locale = Locale.CHINA;SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);builder.append("Expires="+sdf.format(date));}//resp.setHeader("Set-Cookie", builder.toString());resp.addHeader("Set-Cookie", builder.toString());}filterChain.doFilter(req, resp);}@Overridepublic void destroy() {logger.info("Cookie filter finished.");}
}

 

这篇关于【系统安全】cookie未设置Httponly属性和未设置Secure标识的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/824711

相关文章

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

滚雪球学Java(87):Java事务处理:JDBC的ACID属性与实战技巧!真有两下子!

咦咦咦,各位小可爱,我是你们的好伙伴——bug菌,今天又来给大家普及Java SE啦,别躲起来啊,听我讲干货还不快点赞,赞多了我就有动力讲得更嗨啦!所以呀,养成先点赞后阅读的好习惯,别被干货淹没了哦~ 🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,助你一臂之力,带你早日登顶🚀,欢迎大家关注&&收藏!持续更新中,up!up!up!! 环境说明:Windows 10

uniapp设置微信小程序的交互反馈

链接:uni.showToast(OBJECT) | uni-app官网 (dcloud.net.cn) 设置操作成功的弹窗: title是我们弹窗提示的文字 showToast是我们在加载的时候进入就会弹出的提示。 2.设置失败的提示窗口和标签 icon:'error'是设置我们失败的logo 设置的文字上限是7个文字,如果需要设置的提示文字过长就需要设置icon并给

Tomcat性能参数设置

转自:http://blog.csdn.net/chinadeng/article/details/6591542 Tomcat性能参数设置 2010 - 12 - 27 Tomcat性能参数设置 博客分类: Java Linux Tomcat 网络应用 多线程 Socket 默认参数不适合生产环境使用,因此需要修改一些参数   1、修改启动时内存参数、并指定J

JavaScript中document.cookie

“某些 Web 站点在您的硬盘上用很小的文本文件存储了一些信息,这些文件就称为 Cookie。”—— MSIE 帮助。一般来说,Cookies 是 CGI 或类似,比 HTML 高级的文件、程序等创建的,但是 javascript 也提供了对 Cookies 的很全面的访问权利。       每个 Cookie 都是这样的:<cookie名>=<值>   <cookie名>的限制与 javasc

HTML5自定义属性对象Dataset

原文转自HTML5自定义属性对象Dataset简介 一、html5 自定义属性介绍 之前翻译的“你必须知道的28个HTML5特征、窍门和技术”一文中对于HTML5中自定义合法属性data-已经做过些介绍,就是在HTML5中我们可以使用data-前缀设置我们需要的自定义属性,来进行一些数据的存放,例如我们要在一个文字按钮上存放相对应的id: <a href="javascript:" d

Python中的属性装饰器:解锁更优雅的编程之道

引言 在Python的世界里,装饰器是一个强大的工具,它允许我们以一种非侵入性的方式修改函数或方法的行为。而当我们谈论“属性装饰器”时,则是在探讨如何使用装饰器来增强类中属性的功能。这不仅让我们的代码更加简洁、易读,同时也提供了强大的功能扩展能力。本文将带你深入了解属性装饰器的核心概念,并通过一系列实例展示其在不同场景下的应用,从基础到进阶,再到实际项目的实战经验分享,帮助你解锁Python编程

react笔记 8-17 属性绑定 class绑定 引入图片 循环遍历

1、绑定属性 constructor(){super()this.state={name:"张三",title:'我是一个title'}}render() {return (<div><div>aaaaaaa{this.state.name}<div title={this.state.title}>我是一个title</div></div></div>)} 绑定属性直接使用花括号{}   注

linux下非标准波特率的设置和使用

通常,在linux下面,设置串口使用终端IO的相关函数设置,如tcsetattr等函数,linux内部有一个对常用波特率列表的索引,根据设置的波特率用底层驱动来设置异步通信芯片的寄存器 对于非标准的任意波特率需要用ioctl(fd, TIOCGSERIAL, p)和ioctl(fd, TIOCSSERIAL, p)的配合,ioctl的最后一个参数是struct serial_struct *

win7如何设置SATA硬盘

Win7在安装时设置的是IDE,安装完后需要在注册表中设置为SATA,否则直接设BIOS会不认硬盘,具体如下 注册表子项:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Msahci 找到Start键,将值0改为3