B:服务端可以自定义建立Cookie对象及属性传递到客户端;

服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);

方法:

为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在tomcat6的conf/context.xml配置文件中配置:

为自定义Cookie及属性添加HttpOnly属性,在Set-Cookie头部信息设置时可以添加“HttpOnly”

验证:

1,抓包验证任意http响应的内容,确实任意客户端请求的回应包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”:GET /monitor/ HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)

Accept-Encoding: gzip, deflate

Host: 192.168.245.1

Connection: Keep-Alive

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

Set-Cookie:; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 2518

Date: Wed, 20 Jul 2016 08:14:42 GMT

2,在浏览器端调试js脚本,确实使用document.cookie读取在服务端设置的Cookie对象时,读取内容为空:document.cookie    ""

java设置httponly_Tomcat为Cookie设置HttpOnly属性相关推荐

  1. php httponly_PHP设置Cookie的HTTPONLY属性方法详解

    下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法.小编觉得挺不错的,现在就分享给大家,也给大家做个参考.一起跟随小编过来看看吧 httponly是微软对cookie做的扩展,这 ...

  2. php cookie httponly,Cookie的httponly属性设置方法

    为了解决XSS(跨站脚本***)的问题,从IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE.FF.Chrome.Safari) 所支持.当cookie中的HttpO ...

  3. 跨站脚本攻击XSS:为什么cookie中有httpOnly属性

    跨站脚本攻击XSS:为什么cookie中有httpOnly属性 通过上篇文章的介绍,我们知道了同源策略可以隔离各个站点之间的 DOM 交互.页面数据和网络通信,虽然严格的同源策略会带来更多的安全,但是 ...

  4. Java web 跨域cookie设置

    如果跨越需要前端带上cookie 需要设置返回的cookie SameSite=None 同时由于这个只对HTTPS有效所以需要设置 cookie的 Secure 属性 例如以下把token放到coo ...

  5. Cookie的secure和httpOnly属性的含义 以及 Cookie设置HttpOnly,Secure,Expire属性

    Cookie的secure和httpOnly属性的含义 版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.c ...

  6. Go设置、获取cookie

    文章目录 Go设置.获取cookie 设置cookie: 获取cookie: 服务器代码 Go设置.获取cookie 设置cookie: 服务器给发来的请求用户设置cookie: http.SetCo ...

  7. Cookie没有HttpOnly标志

    PHP设置COOKIE的HttpOnly属性 httponly是微软对cookie做的扩展.这个主要是解决用户的cookie可能被盗用的问题.     大家都知道,当我们去邮箱或者论坛登陆后,服务器会 ...

  8. cookie 设置 httpOnly属性

    cookie 设置 httpOnly属性防止js读取cookie. 建立filter拦截器类 CookieHttpOnlyFilter import java.io.IOException; impo ...

  9. Tomcat为Cookie设置HttpOnly属性

    A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的: B:服务端可以自定义建立Cookie对象及属性传递到客户端: 服务端建立的Cooki ...

最新文章

  1. Java性能调优、LinkedIn容器部署、阿里移动性能调优——首届APMCon精彩演讲先睹为快...
  2. asp.net控件库FineUI使用入门图解
  3. listview 的 selection mode 训练小例子
  4. (73)分析 KeInitializeApc ,了解 KAPC 的初始化
  5. 2019年秋计算机管理工作总结,年段工作总结(2019秋高一上)
  6. 编程之美- 中国象棋将帅问题
  7. MySql卸载之后重新安装服务无法启动
  8. 怪物猎人物语稀有9星_怪物猎人崛起武器怎么锻造 武器锻造机制介绍
  9. EXCEL单元格内的姓名对齐
  10. ubuntu软件包管理
  11. decimal保留千分位
  12. 201771010112罗松《面向对象程序设计(java)》第七周学习总结
  13. python 绘制箱型图_Python数据可视化:Seaborn 绘制箱形图
  14. 或非门sr锁存器_sr锁存器的工作原理
  15. win10 无法识别x64dbg 插件
  16. python3报错: takes 1 positional argument but 2 were given 问题解决。
  17. 如何安装最新igraph 现在已经无坑了
  18. 10、STL实用技术专题
  19. “缴费”和“交费”的区别
  20. 旅游流的概念_国内旅游流综述

热门文章

  1. 内网 子网 局域网 外网
  2. IP地址、子网掩码、默认网关是什么意思?
  3. 数据 微信 html代码,微信数据后台统计网站模板
  4. 细数网易云音乐上那些适合学习和工作时听的歌单。
  5. Mysql 全文索引ngram测试
  6. 季胺化聚苯乙烯微球载纳米铁/镍降解氯代硝基苯/载金纳米粒子聚苯乙烯/聚丙烯酸微球的探究
  7. 浅谈Atlassian产品搭建的敏捷管理体系(一)
  8. Android源码Demo地址:http://www.apkbus.com
  9. 现货黄金如何利用均线做空?
  10. charCodeAt()