Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...
属性介绍:
1) secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输(ssl),即
只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,
如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 )HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
3)X-Frame-Options 响应头
X-Frame-Options HTTP 响应头,表示 是否允许一个页面在 <frame>, </iframe> 或者 <object> 中展现的标记。
通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。X
X-Frame-Options 有三个值:
DENY :该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN:该页面可在相同域名页面的 frame 中展示。
ALLOW-FROM uri:该页面可在指定来源的 frame 中展示。
2.HttpOnly,Secure的设置样例:
1)java代码处理方式:
//设置cookieresponse.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";Secure;HttpOnly")//设置Secure;HttpOnlyresponse.setHeader("x-frame-options", "SAMEORIGIN");//设置x-frame-options
2)tomcat处理方式
对 tomcat/conf/context.xml 修改
<Context useHttpOnly="true">
对 tomcat/conf/server.xml 修改
(java代码和配置,二选一即可,目前,我只有java代码方式生效)
<Connector port="8080" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443" secure="true"/>
————————————————————————————————————————
附1:
HttpOnly之Apache官网描述
refer :http://tomcat.apache.org/tomcat-6.0-doc/config/context.html
useHttpOnly
|
Should the HttpOnly flag be set on session cookies to prevent client side script from accessing the session ID? Defaults to |
转载于:https://www.cnblogs.com/xiaoliu66007/p/10118074.html
Cookie中设置了 HttpOnly,Secure 属性,有效的防止XSS攻击,X-Frame-Options 响应头避免点击劫持...相关推荐
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- Winforn中设置ZedGraph曲线图的属性、坐标轴属性、刻度属性
场景 C#窗体应用中使用ZedGraph曲线插件绘制图表: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/99716066 在上面 ...
- Css中设置列表项目符号属性,CSS如何设置列表样式属性,分享
列表样式属性 在HTML中有2种列表.无序列表和有序列表,在工作中无序列表比较常用,无序列表就是ul标签和li标签组合成的称之为无序列表,那什么是有序列表呢?就是ol标签和li标签组合成的称之为有序列 ...
- html domin属性,cookie中的path与domain属性详解
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.jb51.net/test/test.aspx,那么domain默认为www.jb51.net.而跨域访问,如域A为t1 ...
- Python Django Cookie的设置和获取相关属性
- Cookie中的httponly的属性和作用
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安 ...
- cookie中出现重名的键
问题 Http请求中出现了两个同名Cookie,导致服务端获取到的错误的信息 原理 Cookie不仅仅有名字和值两个属性,还有域(domain).路径(path)等属性.其中,不同的域.不同的路径下可 ...
- 在html中设置margin属性,margin
margin (CSS语法) 编辑 锁定 讨论 上传视频 margin,是CSS语法,这个简写属性用于在一个声明中设置所有当前或者指定元素所有外边距的宽度,或者设置各边上外边距的宽度. 中文名 外边距 ...
- Winform中设置ZedGraph的坐标轴的标题和刻度不显示十次幂
场景 Winforn中设置ZedGraph曲线图的属性.坐标轴属性.刻度属性: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/10 ...
- Winform中设置ZedGraph的X轴的刻度根据曲线获取
场景 Winforn中设置ZedGraph曲线图的属性.坐标轴属性.刻度属性: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/10 ...
最新文章
- linux container容器技术框架性理解
- Asp.net采集用到的幾個方法
- c++ 读取文件 最后一行读取了两次
- 第十五期:详解Java集合框架,让你全面掌握!
- 【读书笔记】实战JAVA虚拟机JVM故障诊断与性能优化 读书笔记
- 为linux添加新字体
- java开关语句_Java中嵌套开关语句的替代方法
- Chrome谷歌浏览器离线安装包下载
- 学计算机是要智商的,到底有没有必要让计算机拥有智商呢?
- zigbeelibrary.jar的使用
- 华为安装gsm框架_华为谷歌框架安装app下载-华为谷歌服务框架安装器(GMS安装器)下载v1.2.0 最新版-西西软件下载...
- 在html中调用js函数
- 利用java中的Calendar类完成当前月份日历Calendar类小练习
- 语音情绪识别.PDF
- 微信小程序实现评论多级展开收起以及点赞功能
- 轻微课靠谱吗?轻微课学员的真实评价!!!
- Linux内核的misc框架
- 【LeetCode】971. Flip Binary Tree To Match Preorder Traversal
- 【Python网络爬虫】爬虫常见加密解密算法
- 今天测试了两个跑步软件