码上欢乐
相关内容   简体   繁体

检测到会话cookie中缺少HttpOnly属性

本文转载自  查看原文  2022-01-01 22:31  3406    渗透扫描

什么是HttpOnly

HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话)

下面的例子展示了如何设置Set-Cookie 返回头的语法

Set-Cookie: = [; = ]

[; expires= ][; domain=<domain_name>]

[; path=<some_path>][; secure][; HttpOnly]

如果HTTP响应标头中包含HttpOnly标志(可选),客户端脚本将无法访问cookie(如果浏览器支持该标志的话)。因此即使客户端存在跨站点脚本(XSS)漏洞,浏览器也不会将Cookie透露给第三方。

如果浏览器不支持HttpOnly,并且后端服务器尝试设置HttpOnly cookie,浏览器也会忽略HttpOnly标志,从而创建传统的,脚本可访问的cookie。那么该cookie(通常是会话cookie)容易受到XSS攻击

安全风险

可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

解决方案01:在会话cookie中添加HttpOnly属性

具体操作步骤如下:

HttpServletResponse response2 = (HttpServletResponse)response;
response2.setHeader( "Set-Cookie", "name=value; HttpOnly");

解决方案02(建议使用):在会话cookie中添加HttpOnly属性

具体操作步骤如下:
在项目中,com.gblfy.util包下,新建CookieFilter类
见附件:

package com.sinosoft.fis.util;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
 * 功能描述:
 * <p>
 *   1.Cookie 设置 httpOnly属性 Cookie 
 *   2.设置 httpOnly属性防止js读取cookie
 * </p>
 *
 * @author gblfy
 */
public class CookieHttpOnlyFilter implements Filter {

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!(request instanceof HttpServletRequest)) {
			chain.doFilter(request, response);
			return;
		}
		HttpServletRequest httpReq = (HttpServletRequest) request;
		HttpServletResponse httpResp = (HttpServletResponse) response;
		Cookie[] cookies = httpReq.getCookies();
		if (cookies != null) {
			Cookie cookie = cookies[0];
			if (cookie != null) {
				HttpSession session = httpReq.getSession();
				if (session != null) {
					String sessionId = session.getId();
					// http设置
					httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId + "; Path=/fis; HttpOnly");
					// https设置
//	                    httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId
//	                            + "; Path=/admin;Secure; HttpOnly");
				}
			}
		}
		chain.doFilter(httpReq, httpResp);

	}

	public void destroy() {
	}

	public void init(FilterConfig filterConfig) throws ServletException {
	}

}

在web.xml中添加拦截器

<filter>
    	<filter-name> CookieHttpOnly</filter-name>
    	<filter-class> com.sinosoft.fis.util. CookieHttpOnlyFilter</filter-class>
    </filter>
  <filter-mapping>
    	<filter-name> CookieHttpOnly</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>

火狐测试结果:

谷歌测试结果:


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 会话cookie中缺少HttpOnly属性 解决 Cookie中的httponly的属性和作用 Cookie中的httponly的属性和作用 Cookie中的httponly的属性和作用 cookie中数据无法读取,HttpOnly属性 Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性 Cookie的Secure属性和HttpOnly属性 Cookie中的HttpOnly详解 Session Cookie的HttpOnly和secure属性 PHP设置COOKIE的HttpOnly属性
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM