会话cookie中缺少HttpOnly属性 解决

只需要写一个过滤器即可

 1 package com.neusoft.streamone.framework.security.filter;
 2
 3 import java.io.IOException;
 4
 5 import javax.servlet.Filter;
 6 import javax.servlet.FilterChain;
 7 import javax.servlet.FilterConfig;
 8 import javax.servlet.ServletException;
 9 import javax.servlet.ServletRequest;
10 import javax.servlet.ServletResponse;
11 import javax.servlet.http.Cookie;
12 import javax.servlet.http.HttpServletRequest;
13
14 /**
15  * Created on 2015-7-19
16  * <p>Description: cookie增加HttpOnly属性</p>
17  * @author  王志龙
18  * @version $Revision$
19  */
20 public class CookieHttpOnlyFilter implements Filter
21 {
22
23     @Override
24     public void destroy()
25     {
26
27     }
28
29     @Override
30     public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException
31     {
32         Cookie[] cookies = ((HttpServletRequest)request).getCookies();
33         if(cookies!=null)
34         {
35             for(Cookie cookie : cookies){
36                 //tomcat7 支持该属性,tomcat6不支持
37                 cookie.setHttpOnly(true);
38             }
39         }
40         filterChain.doFilter(request, response);
41     }
42
43     @Override
44     public void init(FilterConfig arg0) throws ServletException
45     {
46
47     }
48
49 }
时间: 2024-10-03 13:47:18

会话cookie中缺少HttpOnly属性 解决的相关文章

IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法

问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true: 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web>  <httpCookies httpOnlyCookies="true" requireSSL="true" /><system.

Cookie中的HttpOnly详解

详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt377 1.什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索 2.javaEE的API是否支持? 目前sun公司还没有公布相关的API,但PHP.C#均有实现.搞javaEE的兄弟们比较郁闷了,别急下文有变通实现 3.HttpOnly的设置

加密会话(SSL) Cookie 中缺少中Secure属性

在项目使用appscan扫描的时候出现: 处理方法: 打开项目的web.config文件,在<system.web>下面增加 <httpCookies httpOnlyCookies="true" requireSSL="true" /> 注意,加入参数之后,如果继续使用http来访问的时候,如登录需要使用cookie,则这个时候是不能正常读到cookie的 3.修改后台写Cookies时的设置 cookie.Secure = true: H

Cookie是否是httponly

1.什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击. 2.javaEE的API是否支持? 目前sun公司还没有公布相关的API,但PHP.C#均有实现.搞javaEE的兄弟们比较郁闷了,别急下文有变通实现 3.HttpOnly的设置样例 javaEE 1 2 response.setHeader("Set-Cookie", "cookiename=value; Path=/;

会话Cookie及session的关系(Cookie &amp; Session)

会话Cookie及session的关系(Cookie & Session) 在通常的使用中,我们只知道session信息是存放在服务器端,而cookie是存放在客户端.但服务器如何使用session和客户端之间进行通信,以及jsessionId是怎么回事,这并没有一个完整和正确的认识,因此这里将这类信息汇总. session中的jsessionId是在session创建好之后,发送给客户端.然后在每一次请求中,客户端即会将这个信息传递给服务器端,服务器端使用这个信息来维护和客户端之间的会话通信,

Cookie中设置了&quot;HttpOnly&quot;属性,有效的防止XSS攻击

1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie. XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段H

cookie的secure、httponly属性设置

cookie的secure.httponly属性设置 转载自:http://www.cnblogs.com/alanzyy/archive/2011/10/14/2212484.html 一.属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容. 2 HttpOnly属性 如果在Cookie中

PHP设置COOKIE的HttpOnly属性

httponly是微软对cookie做的扩展.这个主要是解决用户的cookie可能被盗用的问题.    大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样 就实现了一次登陆就可以看到所有需要登陆后才能看到的内容.也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的 cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不

cookie 设置 httpOnly属性

cookie 设置 httpOnly属性防止js读取cookie. 建立filter拦截器类 CookieHttpOnlyFilter import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.serv