最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。
session cookie
用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识别用户。cookie中包含了一个由 name=value 这样信息构成的任意列表,并通过Set-Cookie或Set-cookie2 HTTP响应(扩展) Headers 首部 将其贴到用户身上去。
场景
用户登录界面,使用openssl生成证书,采用https方式传输,不被外界(攻击者)所截取用户密码等明文信息。
问题
由于session cookie没设置了secure属性,通知浏览器使用https方式连接,cookie中的JSSESSIONID 等其它信息对于攻击者是可见了,没避免中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)。
解决
Servlet 3.0环境
直接在web.xml配置以下信息开启 cookie secure属性
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
Servlet 3.0以下环境
设置response 请求头cookile信息,添加Secure属性。对于HttpOnly也是同样,在后面直接添加。
处理可以写个过滤器filter,对于需要的请求,添加cookile信息,走https传输方式;也可以在特定的MVC 控制器里设置,走https传输方式。
String jSessionId=request.getSession().getId();
response.setHeader("Set-Cookie", "JSESSIONID="+jSessionId+"; Secure;HttpOnly;");