检测到会话cookie中缺少HttpOnly属性
解决方案01:在会话cookie中添加HttpOnly属性
具体操作步骤如下:
HttpServletResponse response2 = (HttpServletResponse)response;
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");
解决方案02(建议使用):在会话cookie中添加HttpOnly属性
具体操作步骤如下:
在项目中,com.gblfy.util包下,新建CookieFilter类
见附件:
package com.sinosoft.fis.util;import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;/*** 功能描述:* <p>* 1.Cookie 设置 httpOnly属性 Cookie * 2.设置 httpOnly属性防止js读取cookie* </p>** @author gblfy*/
public class CookieHttpOnlyFilter implements Filter {public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {if (!(request instanceof HttpServletRequest)) {chain.doFilter(request, response);return;}HttpServletRequest httpReq = (HttpServletRequest) request;HttpServletResponse httpResp = (HttpServletResponse) response;Cookie[] cookies = httpReq.getCookies();if (cookies != null) {Cookie cookie = cookies[0];if (cookie != null) {HttpSession session = httpReq.getSession();if (session != null) {String sessionId = session.getId();// http设置httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId + "; Path=/fis; HttpOnly");// https设置
// httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId
// + "; Path=/admin;Secure; HttpOnly");}}}chain.doFilter(httpReq, httpResp);}public void destroy() {}public void init(FilterConfig filterConfig) throws ServletException {}}在web.xml中添加拦截器
<filter><filter-name> CookieHttpOnly</filter-name><filter-class> com.sinosoft.fis.util. CookieHttpOnlyFilter</filter-class></filter><filter-mapping><filter-name> CookieHttpOnly</filter-name><url-pattern>/*</url-pattern></filter-mapping>火狐测试结果:
谷歌测试结果:
漏洞2参考连接:
https://blog.51cto.com/10926470/1921232
https://blog.csdn.net/a19881029/article/details/27536917
检测到会话cookie中缺少HttpOnly属性相关推荐
- Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1.攻击原理 任何以明文形式发送到服务器的 cookie.会话令牌或用户凭证 ...
- Cookie中的httponly的属性和作用
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安 ...
- php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法
吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性,还有 ...
- Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性
Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.c ...
- php cookie httponly,Cookie的httponly属性设置方法
为了解决XSS(跨站脚本***)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE.FF.Chrome.Safari) 所支持.当cookie中的HttpO ...
- Cookie中不能有空格_前端小贴士 -- 全面了解Cookie
一.Cookie的出现 浏览器和服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的操作,这样严重阻碍了交互式Web应用程序的实现. 针对上述 ...
- 会话Cookie及session的关系(Cookie Session)
会话Cookie及session的关系(Cookie & Session) 在通常的使用中,我们只知道session信息是存放在服务器端,而cookie是存放在客户端.但服务器如何使用sess ...
- Tomcat为Cookie设置HttpOnly属性
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的: B:服务端可以自定义建立Cookie对象及属性传递到客户端: 服务端建立的Cooki ...
- 具有不安全、不正确或缺少SameSite属性的Cookie
目录 1.概述 2.分析 2.1.Samesite属性是个啥? 2.2.Strict 2.3.Lax 2.4.None 3.修复 1.概述 最近,用APPSCAN对网站进行扫描,结果报了一个" ...
最新文章
- python描述器做权限控制_Python装饰器14-描述器
- 语义分割--Mix-and-Match Tuning for Self-Supervised Semantic Segmentation
- 数据结构:关于重建二叉树的三种思路
- linux下swftools 的配置
- 多域型SSL证书和通配型证书安装指南- iis 6.0 (windows 2003)
- Confluence 持续集成平台部署记录
- 第四次作业(胡明浩)
- 【基础】网络常见的9大命令,非常实用!
- MEncoder的基础用法—6.8. 从多个输入图像文件进行编码(JPEG, PNG, TGA等)
- react package.json 修改proxy进行前端跨域,通过修改homepage,更改打包路径
- jetty 找不到html页面,记一次jetty 404问题排查修复
- aws搭建深度学习gpu_选择合适的GPU进行AWS深度学习
- oracle 退出循环 使变量清空,[转]Oracle 清除incident和trace -- ADRCI用法
- playsound playsound.PlaysoundException: Error 263 for command: open ./dataSet/warn.wav 指定的设备未打开,或不被
- .md文件简单的转化为pdf文件
- 第十三届蓝桥杯C/C++ 大学B组题解
- python数据类型的转化和获取
- 打印机管理系统解决方案
- 震惊!为了家人请不要这样对待自己的身体!
- 卷积神经网络的一般步骤,卷积神经网络采用卷积