java cookie secure_Cookie的Secure属性
测试过程
支付页面:
Secure属性为false,没有开启。
风险分析
Cookie未设置secure属性,攻击者可以通过嗅探HTTP形式的数据包获取到该cookie。
解决方法
将Cookie应设置secure属性。
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。
Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。
例子是:
前提条件:https://localhost:9102应用对cookie设置了Secure=true
1. 访问 https://localhost:9102/manager
2. 输入用户名、密码,用IE或者Chrome的developer tool会看到response的header里,set-cookie的值里有Secure属性
3. 登录后,继续访问https://localhost:9102/manager#user,可以正常看到内容
4. 修改url,访问http://localhost:9100/manager#domain,会跳转到登录页面,因为cookie在http协议下不发送给服务器,服务器要求用户重新登录
原因分析:
服务器开启了Https时,cookie的Secure属性应设为true;
解决办法:
1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn
2.修改web.config,添加:
java cookie secure_Cookie的Secure属性相关推荐
- Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1.攻击原理 任何以明文形式发送到服务器的 cookie.会话令牌或用户凭证 ...
- Cookie的Secure属性
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie ...
- cookie设置secure属性不生效
在网上找资料,都是说cookie如果设置了secure=true,那么在http请求的时候,这个cookie就不会往后端传递.为了验证这个说法,我自己用springboot搭了一个简单程序,写了一个接 ...
- php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法
吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性,还有 ...
- 检测到会话cookie中缺少HttpOnly属性
解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)respons ...
- java cookie包_Java cookie的使用
转自:http://www.blogjava.net/tscfengkui/archive/2011/01/21/343341.html 很感谢,让小白明白其中道理 Java cookie的使用 1. ...
- Java过滤HTML标签、属性等正则表达式汇总
Java过滤HTML标签.属性等正则表达式汇总 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 2 ...
- java内省操作类的属性
java内省操作类的属性 1.取得指定类的属性的方法 2.操作指定类的属性的方法 3.得到指定类的属性数据类型的方法 package com.ma.introspector;import java.b ...
- 【Android 逆向】Android 权限 ( adb 降权相关的属性 | ro.secure 属性 | ro.debuggable 属性 | service.adb.root 属性 )
文章目录 一.adb 降权 1.ro.secure 属性 2.ro.debuggable 属性 3.service.adb.root 属性 4.ro.kernel.qemu 属性 一.adb 降权 远 ...
最新文章
- 5个在线调试代码的网站
- 【Python】55个案例:吃透Python字符串格式化
- 天天象棋 残局闯关 第9关
- Volley简单学习使用五—— 源代码分析三
- leetcode145. 二叉树的后序遍历
- 滑动切换activity
- 【去重】php正则过滤字符串中多次重复出现内容为1个
- linux shell sleep/wait(转载)
- python中的pass是空语句一般用作占位语句_1、python基本语法
- 2019夏软工暑期随笔3
- halcon轮廓擦除_【Halcon】轮廓处理
- Python写幂函数
- es中单机部署状态为Yellow解决办法
- angular中的变更检测机制
- ADOConnection 打开EXCEL
- 转行IT,零基础学什么技术比较好?
- 6 计算机网络 待更新
- 伪原创文章写作格式(符合seo优化的文章规范是什么)
- Python机器学习:一元回归
- 运行浏览器无痕模式报错
热门文章
- 从程序员角度分析,到底“12306”的架构到底有多牛逼?
- 99%程序员不知道的编程必备工具,人工智能助你编程更轻松
- JAVA企业级快速开发平台,JEECG 3.7.3 新春版本发布
- RedHat系列软件管理(第二版) --源码包安装
- php微信支付接口开发程序(概念篇)
- 【源码分享】WPF漂亮界面框架实现原理分析及源码分享
- 数组随机排序(随手记)
- textarea内容有换行时存入数据库丢失问题的解决 (转载)
- DataView的ToTable方法,类似数据库Distinct。
- 20个数据库设计最佳实践