IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法

问题描述:

原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:

1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config,添加:

<system.web>
  <httpCookies httpOnlyCookies="true" requireSSL="true" />
<system.web>

See:  http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

3.修改后台写Cookies时的设置 cookie.Secure = true:

HttpResponse response = HttpContext.Current.Response;

var cookie = new HttpCookie(key, value);

cookie.HttpOnly = true;

cookie.Path = "/";

cookie.Expires = DateTime.Now.AddHours(1);

cookie.Secure = true;

response.AppendCookie(cookie);

时间: 2024-11-05 21:45:17

IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法的相关文章

加密会话(SSL) Cookie 中缺少中Secure属性

在项目使用appscan扫描的时候出现: 处理方法: 打开项目的web.config文件,在<system.web>下面增加 <httpCookies httpOnlyCookies="true" requireSSL="true" /> 注意,加入参数之后,如果继续使用http来访问的时候,如登录需要使用cookie,则这个时候是不能正常读到cookie的 3.修改后台写Cookies时的设置 cookie.Secure = true: H

会话cookie中缺少HttpOnly属性 解决

只需要写一个过滤器即可 1 package com.neusoft.streamone.framework.security.filter; 2 3 import java.io.IOException; 4 5 import javax.servlet.Filter; 6 import javax.servlet.FilterChain; 7 import javax.servlet.FilterConfig; 8 import javax.servlet.ServletException;

Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38063823,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blo

2014-07-09 Java Web的学习(5)-----会话管理(Cookie和Session)

1.什么是会话 会话,牛津词典对其的解释是进行某活动连续的一段时间.从不同的层面看待会话,它有着类似但不全然相同的含义.比如,在web应用的用户看来,他打开浏览器访问一个电子商务网站,登录.并完成购物直到关闭浏览器,这是一个会话.而在web应用的开发者开来,用户登录时我需要创建一个数据结构以存储用户的登录信息,这个结构也叫做会话.因此在谈论会话的时候要注意上下文环境.而本文谈论的是一种基于HTTP协议的用以增强web应用能力的机制或者说一种方案,它不是单指某种特定的动态页面技术,而这种能力就是保

linux基础学习第二十三天linux安全和加密之SSL\TLS协议、CA、openssl

内容: 1.通信加密类型及算法 2.TLS/SSL协议的引入及其通信过程 3.CA.数字签名的引入 4.一个安全的数据通信交换过程 5.openssl工具的使用 6.自制私有根CA过程 一.通信加密类型及算法 数据加密通信的重要性不言而喻,美国NIST,为了保证计算机的安全,提出了几个要求: (1).数据要有保密性:数据保密性和隐私性:确保信息不被别人获取,个人存储的信息不能被别人收集到: (2).完整性:包括数据完整性和系统完整性:数据完整性确保数据和程序只能以特定权限的进行授权和改变,只能授

会话技术: Cookie 和 Session

会话技术 会话技术:从浏览器开始访问服务器,到关闭浏览器,这期间发生了许多次请求和响应,这个过程就叫做一次会话. Cookie 和 Session 都是处理会话技术的两种具体实现,Cookie将数据保存在客户端,Session将数据保存在服务器端. Cookie技术 1.Cookies是存储在客户机的文本文件,可以保存一系列的信息.通常服务器有三个步骤来识别不同的客户机: 服务器脚本发送一系列cookies至浏览器.比如名字,年龄,ID号码等等. 浏览器在本地机中存储这些信息. 当下一次浏览器发

PHP 会话控制 cookie与session 全解析

Cookie 简介 Cookie是存储在客户端浏览器中的数据,我们通过Cookie来跟踪与存储用户数据. 一般情况下,Cookie通过HTTP headers从服务端返回到客户端.多数web程序都支持Cookie的操作,因为Cookie是存在于HTTP的标头之中,所以必须在其他信息输出以前进行设置,类似于header函数的使用限制. PHP通过 setcookie 函数进行Cookie的设置,任何从浏览器发回的Cookie,PHP都会自动的将他存储在 $_COOKIE 的全局变量之中,因此我们可

php会话控制cookie/session

设置cookie PHP设置Cookie最常用的方法就是使用setcookie函数,setcookie具有7个可选参数,我们常用到的为前5个: name( Cookie名)可以通过$_COOKIE['name'] 进行访问value(Cookie的值)expire(过期时间)Unix时间戳格式,默认为0,表示浏览器关闭即失效path(有效路径)如果路径设置为'/',则整个网站都有效domain(有效域)默认整个域名都有效,如果设置了'www.baidu.com',则只在www子域中有效 $val

IBM appscan 9.0破解版分享

简介:IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界.Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection).跨站点脚本攻击(cross-site scripting).缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描. 下载