详细介绍请看: http://netsecurity.51cto.com/art/200902/111143.htm
XSS与HTTP-only Cookie简介
跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。
这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。
像这样具有该属性的cookie被称为HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。下面是设置HTTP-only cookie的一个报头的示例:
Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly
在java的web应用里, 我们要保护的有JSESSIONID这个cookie, 因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的. 所以这个cookie是不应该由客户端脚本来操作的, 它很适合用HttpOnly来标识它.
但很可惜的是, 只有到了jee6才正式提出这个
api
对于之前的版本, 我们要如此编写代码
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");
对于tomcat6已支持对JSESSIONID的cookie设置HttpOnly, 但是这个选项默认没有开启.
要开启的话, 我们要在 <Context>上进行设置, 使用属性
useHttpOnly,
具体文档,请猛击
这里
参考:https://www.owasp.org/index.php/HttpOnly#Using_Java_to_Set_HttpOnly
web安全网站
the open web application security Project
分享到:
相关推荐
java_jvm_参数_-Xms_-Xmx_-Xmn_-Xss_调优总结.pdf java_jvm_参数_-Xms_-Xmx_-Xmn_-Xss_调优总结.pdf
JVM调优总结 -Xms -Xmx -Xmn -Xss JVM调优总结 -Xms -Xmx -Xmn -Xss
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
JVM调优总结 -Xms -Xmx -Xmn -Xss
efucms-含有存储型XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
经典的xss注入通关游戏,搭建简单。适合网络安全测试人员
java jvm 参数 -Xms -Xmx -Xmn -Xss -
一起打靶-Breach-2-final2.1.xss上线
95-web漏洞之XSS漏洞挖掘
XSS获取COOKIE
YXcms-含有存储型XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
E077-PHP应用安全-针对存储型XSS漏洞的安全开发
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
XSS获取cookie和利用方式简单方法
第25周-第08章节-Python3.5-XSS过滤以及单例模式.avi
JVM参数_-Xms_-Xmx_-Xmn_-Xss_调优总结
Laravel开发-laravel-xss-filter 过滤XSS的用户输入,但不要过滤其他HTML
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
计算机后端-PHP视频教程. laravel-el25 防xss攻击.wmv
YXcms-含有存储型XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可