测试过程

支付页面:

Secure属性为false,没有开启。

风险分析

Cookie未设置secure属性,攻击者可以通过嗅探HTTP形式的数据包获取到该cookie。

解决方法

将Cookie应设置secure属性。

基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。

Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cookie是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。

例子是:

前提条件:https://localhost:9102应用对cookie设置了Secure=true

1. 访问 https://localhost:9102/manager

2. 输入用户名、密码,用IE或者Chrome的developer tool会看到response的header里,set-cookie的值里有Secure属性

3. 登录后,继续访问https://localhost:9102/manager#user,可以正常看到内容

4. 修改url,访问http://localhost:9100/manager#domain,会跳转到登录页面,因为cookie在http协议下不发送给服务器,服务器要求用户重新登录

原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:

1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config,添加:

java cookie secure_Cookie的Secure属性相关推荐

  1. Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性

    近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1.攻击原理 任何以明文形式发送到服务器的 cookie.会话令牌或用户凭证 ...

  2. Cookie的Secure属性

    基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie ...

  3. cookie设置secure属性不生效

    在网上找资料,都是说cookie如果设置了secure=true,那么在http请求的时候,这个cookie就不会往后端传递.为了验证这个说法,我自己用springboot搭了一个简单程序,写了一个接 ...

  4. php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法

    吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性,还有 ...

  5. 检测到会话cookie中缺少HttpOnly属性

    解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)respons ...

  6. java cookie包_Java cookie的使用

    转自:http://www.blogjava.net/tscfengkui/archive/2011/01/21/343341.html 很感谢,让小白明白其中道理 Java cookie的使用 1. ...

  7. Java过滤HTML标签、属性等正则表达式汇总

    Java过滤HTML标签.属性等正则表达式汇总 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 2 ...

  8. java内省操作类的属性

    java内省操作类的属性 1.取得指定类的属性的方法 2.操作指定类的属性的方法 3.得到指定类的属性数据类型的方法 package com.ma.introspector;import java.b ...

  9. 【Android 逆向】Android 权限 ( adb 降权相关的属性 | ro.secure 属性 | ro.debuggable 属性 | service.adb.root 属性 )

    文章目录 一.adb 降权 1.ro.secure 属性 2.ro.debuggable 属性 3.service.adb.root 属性 4.ro.kernel.qemu 属性 一.adb 降权 远 ...

最新文章

  1. 5个在线调试代码的网站
  2. 【Python】55个案例:吃透Python字符串格式化
  3. 天天象棋 残局闯关 第9关
  4. Volley简单学习使用五—— 源代码分析三
  5. leetcode145. 二叉树的后序遍历
  6. 滑动切换activity
  7. 【去重】php正则过滤字符串中多次重复出现内容为1个
  8. linux shell sleep/wait(转载)
  9. python中的pass是空语句一般用作占位语句_1、python基本语法
  10. 2019夏软工暑期随笔3
  11. halcon轮廓擦除_【Halcon】轮廓处理
  12. Python写幂函数
  13. es中单机部署状态为Yellow解决办法
  14. angular中的变更检测机制
  15. ADOConnection 打开EXCEL
  16. 转行IT,零基础学什么技术比较好?
  17. 6 计算机网络 待更新
  18. 伪原创文章写作格式(符合seo优化的文章规范是什么)
  19. Python机器学习:一元回归
  20. 运行浏览器无痕模式报错

热门文章

  1. 从程序员角度分析,到底“12306”的架构到底有多牛逼?
  2. 99%程序员不知道的编程必备工具,人工智能助你编程更轻松
  3. JAVA企业级快速开发平台,JEECG 3.7.3 新春版本发布
  4. RedHat系列软件管理(第二版) --源码包安装
  5. php微信支付接口开发程序(概念篇)
  6. 【源码分享】WPF漂亮界面框架实现原理分析及源码分享
  7. 数组随机排序(随手记)
  8. textarea内容有换行时存入数据库丢失问题的解决 (转载)
  9. DataView的ToTable方法,类似数据库Distinct。
  10. 20个数据库设计最佳实践