tomcat配置httponly属性

最新推荐文章于 2025-05-20 19:40:40 发布
最新推荐文章于 2025-05-20 19:40:40 发布
阅读量2.9k 收藏 1
点赞数 1
分类专栏: Web前端
本文介绍了如何解决IBMAppScan安全扫描提示Cookie中缺少Secure属性的问题。通过修改tomcat的context.xml文件中的ContextuseHttpOnly属性,可以有效防止XSS攻击,并确保Cookie仅通过HTTPS连接传输。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IBM AppScan 安全扫描:提示Cookie 中缺少 Secure 属性

处理办法在tomcat/conf/ 下找到context.xml修改<Context useHttpOnly="true">,以下为Apache官网描述

refer :http://tomcat.apache.org/tomcat-6.0-doc/config/context.html


 此问题的原因在于防范xss攻击,当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。

HttpOnly属性:如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。

为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性HTTP-only。 这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。

像这样具有该属性的cookie被称为HTTP-only Cookie。包含在HTTP-only Cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。

 

 

14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1766
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
设置Tomcat sessionid的HTTP-only属性
weixin_33966095的博客
10-08 594
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat设置httpOnly
weixin_33766168的博客
02-26 1648
经常看到一些人说tomcat6不支持httponly,查阅官方帮助文档后发现是可以支持的,tomcat6的context.xml配置说明 为什么需要httponly sessionid一般是以cookie的形式储存和传送的,除非禁用cookie; cookie是可以通过javascript进行读取,所以需禁用sessioid通过javascript进行读取,这时候就可以通过设置Cookie的htt...
浏览器工作原理33 [#] 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性
qq_44376306的博客
05-20 1012
XSS 全称是,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
Tomcat为Cookie设置HttpOnly属性
热门推荐
学习记录和开发记录
07-20 2万+
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的; B:服务端可以自定义建立Cookie对象及属性传递到客户端; 服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击); 方法:
tomcat 配置httponly
weixin_30295091的博客
08-12 434
tomcat6需手动配置,conf/context.xml <Context useHttpOnly="true"> </Context> 对于tomcat7、8来说不需要手动配置,useHttpOnly选项默认为true。 转载于:https://www.cnblogs.com/spacex/p/4724207.html...
cookie设置httpOnlysecure属性实现及问题
01-03
### Cookie设置httpOnlysecure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
【系统安全】cookie未设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
怎么在tomcat运行的java项目 在Cookie 配置 SameSite 属性
06-21
-保证回答真实可靠:基于我的知识,Tomcat配置Cookie的SameSite属性可以通过多种方式实现。从提供的引用中:-引用[1]:关于Tomcat的一般信息,如何在Linux上安装Tomcat,但用户的问题是关于Cookie配置。-引用[2]:一个...
java设置httponly_Tomcat为Cookie设置HttpOnly属性
weixin_29230649的博客
02-26 1114
B:服务端可以自定义建立Cookie对象及属性传递到客户端;服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);方法:为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在to...
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 2158
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
Cookie设置HttpOnly属性,防止前端脚本更改cookie的XSS攻击
Sunyc1992的博客
11-02 8631
Tomcat版本为6.0.39,JDK版本为1.6update45 在Web工程上增加一个Filter对Cookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response,
SpringBoot配置tomcat
m0_62356399的博客
06-25 9153
可以看到tomcat-embed-websocket依赖,下面的9.0.56即为web内置tomcat服务器版本。在一个SpringBootWeb应用程序,内置了一个tomcat服务器,有些时候我们需要对它的默认配置进行更改。左侧下滑找到:Server Properties点击,在列表中下滑,即可查看所有相关配置,如下图。我们可以看到中间有个spring-boot-starter-tomcat依赖,再次进入它。启动项目后,我们也可以看到第五行的tomcat版本信息。内置tomcat的所有配置可以进入官网。
tomcat
斜杠码农
08-06 308
项目防止xss攻击设置httponly 在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml &lt;Context useHttpOnly="true"&gt;&lt;/context&gt;  2、修改tomcat/conf/web.xml &lt;session-config&gt;  &lt;cookie-conf...
设置cookie的httponly属性
tz_gx的专栏
10-31 2108
方法1: tomcat的conf下的server.xml文件中,添加useHttpOnly="true" 方法2: tomcat的conf下的context.xml文件中,添加useHttpOnly="true"     WEB-INF/web.xml 检查设置成功
tomcat ajp服务端如何配置setcookie
最新发布
06-26
<think>我们正在讨论Tomcat的AJP连接器配置,特别是关于Set-Cookie响应头的处理。根据用户提供的引用[1],Tomcat默认配置了AJP连接器。Set-Cookie是HTTP响应头的一部分,Tomcat在生成响应时会自动处理Set-Cookie头。然而,在AJP协议中,响应头的传输方式与HTTP有所不同,但Tomcat的AJP连接器已经内置了对Set-Cookie的支持。用户的问题是如何配置AJP连接器以支持Set-Cookie响应头。实际上,Tomcat的AJP连接器默认就会正确处理Set-Cookie头,无需额外配置。但是,我们可以通过配置连接器的一些属性来调整Cookie的行为,比如设置cookie的SecureHttpOnly属性。在Tomcat中,可以通过配置Context容器或使用Servlet代码来设置Cookie属性,而不是直接在AJP连接器上配置。但是,如果需要在连接器级别全局设置,可以使用`useHttpOnly`和`secure`等属性。参考引用[1]中给出的AJP连接器配置示例:<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"/>我们可以在这个连接器上添加一些属性来影响Set-Cookie的行为:1.`useHttpOnly`:设置是否在Cookie中添加HttpOnly标志,以防止客户端脚本访问Cookie(默认为true)。2.`secure`:设置是否仅通过安全连接(如HTTPS)发送Cookie。如果设置为true,则Cookie将带有Secure标志(默认为false,但通常如果连接是通过SSL/TLS,则应设置为true)。另外,还可以通过配置Context来设置SessionCookie的配置,例如:<ContextsessionCookieName="MY_SESSION"sessionCookiePath="/"/>但是,这些Context配置是针对单个Web应用的,而不是连接器级别的。因此,如果需要在AJP连接器级别全局设置Cookie属性,可以在Connector元素中添加以下属性:<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"useHttpOnly="true"secure="true"/>注意:`secure`属性设置为true时,只有当AJP连接器后面的Web服务器(如Apache)通过HTTPS提供服务时,才应该使用。因为AJP连接器本身并不处理SSL,SSL通常由前端服务器处理。另外,Tomcat还提供了`useCookie`属性(默认为true),用于指定是否使用Cookie来存储会话ID。如果设置为false,则使用URL重写。总结:Tomcat的AJP连接器默认支持Set-Cookie响应头,无需特殊配置。但可以通过连接器的属性调整Cookie的安全设置。如果用户需要更精细的控制,比如设置SameSite属性,目前Tomcat的连接器配置不支持SameSite属性。SameSite属性需要在应用代码中设置,或者通过使用Tomcat9.0.31及以上版本,并在Context中配置:<CookieProcessorsameSite="strict"/>在Tomcat9中,可以通过配置CookieProcessor来设置SameSite属性。因此,根据用户的需求,如果只是需要支持Set-Cookie,那么默认配置即可。如果需要增强Cookie的安全性,则可以按照上述方式进行配置。最后,请注意,修改配置后需要重启Tomcat。下面我们给出一个配置示例:</think>### Tomcat AJP连接器配置:Set-Cookie响应头处理 在Tomcat配置AJP连接器以正确处理`Set-Cookie`响应头,主要通过以下步骤实现: #### 1. **基础AJP连接器配置** 在`server.xml`中配置AJP连接器时,需显式声明协议版本并启用Cookie处理: ```xml <Connector port="8009" protocol="AJP/1.3" <!-- 必须声明AJP协议版本 --> redirectPort="8443" useCookieAttributes="true" <!-- 启用Cookie属性处理 --> emptySessionPath="false" <!-- 保持会话路径完整 --> /> ``` 关键参数说明: - **`useCookieAttributes`** (默认`true`): 自动处理`HttpOnly`、`Secure`等Cookie属性[^1] - **`emptySessionPath`**: 设为`false`确保会话Cookie的path属性正确传递 #### 2. **会话Cookie专用配置** 在`context.xml`中添加会话Cookie配置: ```xml <Context> <CookieProcessor sameSite="Strict" <!-- 控制跨站传递 --> domain=".example.com" <!-- 设置作用域 --> useHttpOnly="true" <!-- 阻止客户端脚本访问 --> /> </Context> ``` SameSite属性值: - `Strict`: 完全禁止跨站传递 - `Lax`: 允许安全跨站请求(推荐) - `None`: 允许所有跨站传递(需配合Secure) #### 3. **特殊字符处理** 当Cookie值含特殊字符(如`/`)时,在`server.xml`添加: ```xml <Connector ... allowSlashInCookieName="true" <!-- 允许Cookie名含斜杠 --> relaxedPathChars="|{}[]" <!-- 扩展合法字符集 --> relaxedQueryChars="|{}[]" /> ``` #### 4. **前端代理集成配置** 若使用Apache/Nginx作前端代理,需同步配置: ```apache # Apache mod_proxy_ajp配置 ProxyPass / ajp://localhost:8009/ ProxyPassReverseCookieDomain .example.com .prod.com <!-- 域名重写 --> ProxyPassReverseCookiePath /app / <!-- 路径重写 --> ``` #### 5. **调试与验证** 1. 启用访问日志检查Cookie: ```xml <Valve className="org.apache.catalina.valves.AccessLogValve" pattern="%{Set-Cookie}i %{Cookie}o" /> ``` 2. 使用`curl`测试: ```bash curl -I -H 'AJP_REMOTE_PORT:8009' http://localhost:8009 --proxy ajp://localhost:8009 ``` > **最佳实践**:生产环境推荐组合使用`Secure`+`HttpOnly`+`SameSite=Lax`,平衡安全性与功能性: > ```xml > <CookieProcessor > useHttpOnly="true" > secure="true" > sameSite="Lax" > /> > ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值