描述

The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be accessed via client-side scripts. Recommendations include adopting a development policy that includes the utilization of HTTP only cookies, and performing other actions such as ensuring proper filtration of user-supplied data, utilizing client-side validation of user supplied data, and encoding all user supplied data to prevent inserted scripts being sent to end users in a format that can be executed.

解决方案

nginx
在http下添加 HttpOnly是重点!
add_header Set-Cookie “Path=/; HttpOnly; Secure”;
例如:

http{add_header Set-Cookie "Path=/; HttpOnly; Secure";
}

shiro
在bean的name为sessionIdCookie和rememberMeCookie下增加
cookie.setSecure(true);
例如:

@Bean(name = "sessionIdCookie")
public SimpleCookie getSessionIdCookie() {SimpleCookie cookie = new SimpleCookie("sid");cookie.setHttpOnly(true);//加入这句cookie.setSecure(true);return cookie;
}@Bean(name = "rememberMeCookie")
public SimpleCookie getRememberMeCookie() {SimpleCookie cookie = new SimpleCookie("rememberMe");cookie.setHttpOnly(true);//加入这句cookie.setSecure(true);return simpleCookie;
}

参考

https://vulncat.fortify.com/en/detail?id=desc.config.dotnet.cookie_security_httponly_not_set_on_session_cookie

https://blog.miniasp.com/post/2009/11/26/Using-HttpOnly-flag-to-avoid-XSS-attack

漏洞修复:Cookie Security: HTTPOnly not Set on Application Cookie相关推荐

  1. cookie 设置 httpOnly属性

    cookie 设置 httpOnly属性防止js读取cookie. 建立filter拦截器类 CookieHttpOnlyFilter import java.io.IOException; impo ...

  2. 漏洞修复:Cookie Security: Overly Permissive SameSite Attribute

    描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). S ...

  3. 跨站脚本攻击XSS:为什么cookie中有httpOnly属性

    跨站脚本攻击XSS:为什么cookie中有httpOnly属性 通过上篇文章的介绍,我们知道了同源策略可以隔离各个站点之间的 DOM 交互.页面数据和网络通信,虽然严格的同源策略会带来更多的安全,但是 ...

  4. Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性

    Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.c ...

  5. 常见web安全漏洞修复方案(全面)

    第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或"注入"SQL查询到应用程序.一个成功的SQL注入攻击可以从 数据库中获取敏感数据.修改 ...

  6. cookie设置httponly属性防护XSS***

    ***者利用XSS漏洞获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,***这里用获取的COOKIE登陆账号,并进行非法操作. COOKIE设置http ...

  7. CentOS bug修复指令集(阿里云漏洞修复方法)

    阿里云服务器经常会提示有漏洞,如 RHSA-2018:0423: kernel security, bug fix, and enhancement update (Moderate),如何修复呢?可 ...

  8. Log4j执行漏洞修复教程

    12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重. Log4j2 是一个基于 Java 的日志记录工具.它重写了 Log4j 框架,引入 ...

  9. java+poodle漏洞修复_SSL3.0 POODLE漏洞修复方案

    SSL3.0 POODLE漏洞修复方案 发布时间:2014-10-15 15:02:27 关于SSLPOODLE漏洞 POODLE = Padding Oracle On Downgraded Leg ...

最新文章

  1. 专家答题:GB50311-2007 常见问题
  2. 大一期末计算机应用基础考什么,大学计算机应用基础期末考试题
  3. LeetCode 88合并两个有序数组89格雷编码
  4. 详解Python中的下划线
  5. 如何创建一个基本JQuery的插件
  6. Vue或React多页应用脚手架
  7. Tips--解决No module named matlab.engine的问题
  8. opensource项目_推出“什么是开放式教育?” Opensource.com上的资源
  9. win7计算机菜单,教您win7右键菜单设置方法
  10. 无法打开计算机的组策略,win7系统电脑本地组策略打不开无法运行的解决方法...
  11. Redis高可用之持久化
  12. 大理大学日常作业计算机基础知识,大理学院成人高等教育大学计算机基础课程作业.doc...
  13. 计算机制作ppt考试题,计算机二级PPT真题:制作计算机发展简史PPT
  14. 算法——最好理解的动态规划之01背包详解(看完这篇再不敢说自己不知道01背包算法!!!)
  15. 移动端微信浏览器调试工具整理eruda,微信x5调试工具无法使用,推荐新工具eruda、vconsole和debugxweb
  16. csp模拟题-炉石传说
  17. 我所经历的Android面试|掘金技术征文
  18. python入门——热量转换 I
  19. GitHub怎么用?GitHub是什么?新手怎么用GitHub?图文并茂,不看都不行
  20. 测量设备校准/验证后,如何判定是否符合有关规范?

热门文章

  1. 美式口语发音技巧:《英美发音区别》
  2. 安卓或苹果IOS的APP应用如何取名字?好的名字技巧?
  3. 华为服务器克隆linux,华为RH2288H V3服务器磁盘阵列配置RAID
  4. 警猫眼App:闲置安卓旧手机DIY变成安防监控云端摄像头
  5. 教程篇(7.0) 04. FortiGate基础架构 二层交换 ❀ Fortinet 网络安全专家 NSE 4
  6. 建筑业减碳绝非一招鲜 专家建议加强改造农村建筑
  7. 小米只能进fastboot(bl已解)怎么办
  8. methodinvocationexception: property ‘driverclassname‘ threw exception; nested exception is java.lang
  9. 51单片机系列--闪烁灯,呼吸灯与流水灯
  10. 阿里云最简单的认证是什么?考试费用是多少?