会话cookie中缺少HttpOnly属性漏洞--分析解决

最新推荐文章于 2025-07-07 14:00:49 发布
最新推荐文章于 2025-07-07 14:00:49 发布
阅读量1.8w 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/OliverQY/article/details/80846960

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



详细描述

会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

 

HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。

 

如果在Cookie中没有设置HttpOnly属性为true,可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,如ASP.NET会话ID或Forms身份验证票证,攻击者可以重播窃取的Cookie,以便伪装成用户或获取敏感信息,进行跨站脚本攻击等。

 

如果在Cookie中设置HttpOnly属性为true,兼容浏览器接收到HttpOnly cookie,那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这将有助于缓解跨站点脚本威胁。
最低0.47元/天 解锁文章

200万优质内容无限畅学
Django检测到会话cookie缺少HttpOnly属性手工复现
骑上单车去旅行的博客
04-03 1660
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);
会话cookie缺少HttpOnly属性
itmyhome的专栏
09-14 1万+
项目经第三方机构进行安全扫描漏洞出现“会话cookie缺少HttpOnly属性”问题 安全风险 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 Web 应用程序设置了缺少 HttpOnly 属性会话 cookie 技术描述 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含“
Web应用安全测试-防护功能缺失
06-14 2101
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
cookies secure漏洞
itScholar001的博客
04-02 459
博主解决这个问题 发现这个acw_tc是阿里云添加的 不是应用自己本身添加的cookie,所以需要在阿里云开启secure。原因在于cookie没有设置secure属性,导致cookie可以被窃取。安全扫描的时候出现这个漏洞-Cookie Secure 缺失漏洞。也可以通过header设置 通过在响应头设置set-Cookie。如果有其他cookie需要设置secure 可以参考这个。添加过滤器,将所有的cookie都设置为secure。有这个漏洞 你的cookie则可以被人截取 不安全。
CookieHttpOnly属性:作用、配置与前后端分工
最新发布
weixin_43172311的博客
07-07 1324
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
安全检测:会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 7375
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
会话 cookie缺少HttpOnly 属性 的问题
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其中有一个漏洞问为“会话 cookie缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含 “HttpOnly属性会话 cookie。由于此会话 cookie 不包含“HttpOnly属性,因此 注入站点的恶意脚本可能访问此 cookie
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 2012
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
会话cookie缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5672
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
cookie设置httpOnly和secure属性实现及问题
01-03
### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2398
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决漏洞
IIS - 会话cookie缺少HttpOnly属性
热门推荐
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选中图中节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
安全修复之Web——会话Cookie缺少HttpOnly属性
CN華少的博客
05-02 1808
安全修复之Web——会话Cookie缺少HttpOnly属性 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Golang g...
django-会话 cookie缺少HttpOnly 属性-安全加强
weixin_30457065的博客
04-02 906
如果django程序扫描到会话 cookie缺少 HttpOnly 属性问题,需要如何进行安全加强? https://docs.djangoproject.com/en/2.2/ref/settings/#std:setting-CSRF_COOKIE_HTTPONLY 参考官方文档. CSRF_COOKIE_HTTPONLY¶ Default:False Whether to u...
检验-会话cookie缺少HttpOnly属性
RayChiu757374816的博客
12-11 3393
第一次遇到这样的问题,就想来记录下这个。 详细问题描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。    2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft
Cookie属性HttpOnly引起的漏洞解决方案
Sveinn的博客
03-06 935
项目扫描的时候出一个漏洞Cookie未配置HttpOnly标志。那HttpOnly是什么呢?Httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。在web应用中、JSESSIONID (Cookie)没有设置Httponly属性可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。这里我是写一个拦截器,实现GlobalFilter,我们可以在拦截器中向Cookie中添加HttpOnly属性
dedecms Cookie缺失HttpOnly标识漏洞
04-02
<think>好的,我现在需要处理用户关于DedeCMS中Cookie缺少HttpOnly标识的安全风险及修复方法的问题。首先,我得回顾一下用户提供的引用内容,尤其是引用[1]和[2],因为它们提到了HttpOnly的作用和相关漏洞。 首先,用户的问题集中在DedeCMS的Cookie没有设置HttpOnly属性,这可能被XSS攻击利用,窃取用户的Cookie信息。根据引用[1],HttpOnly可以有效防止通过脚本泄露Cookie,比如在IE6 SP1和Firefox 3以上版本支持。而引用[2]提到Cookie可能成为SQL注入点,但在这里主要是XSS的风险更大。 接下来,我需要分析DedeCMS的具体情况。通常,CMS系统在用户登录或验证时会设置Cookie。如果DedeCMS没有为这些Cookie设置HttpOnly,攻击者可能通过XSS漏洞执行恶意脚本,获取用户的会话Cookie,进而进行会话劫持。例如,动易SiteFactory系统在登录成功时设置了authCookie.HttpOnly = true,这说明类似CMS应该有类似的配置点。 然后,修复方案需要找到DedeCMS中设置Cookie的位置,通常是登录验证后的代码部分。检查相关PHP文件,找到设置Cookie的函数,如setcookie(),并添加httponly参数。例如,PHP 5.2以上版本支持在setcookie中设置httponly标志,所以代码修改应该是可行的。 另外,用户可能需要升级DedeCMS到最新版本,因为官方可能已经修复了这个问题。如果用户使用的是旧版本,手动修改代码是必要的。同时,还需要检查其他安全配置,如引用[3]提到的Tomcat安全措施,但这里可能更关注应用层的修复。 还需要考虑用户的服务器环境是否支持HttpOnly,现代浏览器基本都支持,所以兼容性问题不大。同时,提醒用户即使设置了HttpOnly,仍需防范XSS漏洞,因为HttpOnly只是缓解措施,不是根本解决方案。 最后,生成相关问题时要围绕HttpOnly的作用、DedeCMS其他安全风险、XSS防御方法等展开,确保覆盖用户可能关心的其他方面。</think>### DedeCMS Cookie缺少HttpOnly标识的安全风险及修复方案 #### 一、安全风险分析 1. **XSS攻击利用** 若Cookie未设置HttpOnly标识,攻击者可通过跨站脚本(XSS)漏洞窃取用户Cookie,例如获取后台管理员会话ID,导致权限绕过或账户劫持[^2]。例如: ```javascript document.cookie // 可获取未设置HttpOnlyCookie内容 ``` 2. **会话固定攻击** 攻击者可伪造用户会话Cookie,结合其他漏洞实施进一步攻击。 3. **敏感信息泄露** 如用户登录凭证、身份验证信息可能通过脚本被非法获取[^1]。 #### 二、修复方法 1. **手动修改源码** **步骤:** - 定位Cookie设置代码文件(通常位于`/member/index.php`或登录验证逻辑文件)。 - 修改`setcookie`函数参数,添加`httponly=true`。例如: ```php // 原代码 setcookie("DedeUserID", $uid, $time, "/"); // 修改后 setcookie("DedeUserID", $uid, $time, "/", "", false, true); // 第7个参数为httponly ``` - 涉及的关键Cookie包括`DedeUserID`、`DedeLoginTime`等。 2. **升级系统版本** DedeCMS官方可能在新版本中修复此问题,建议升级至最新版并检查更新日志。 3. **服务器配置补充** - 通过PHP全局配置强制设置HttpOnly(`php.ini`文件): ```ini session.cookie_httponly = 1 ``` #### 三、加固建议 1. 同步启用Secure属性(仅限HTTPS传输): ```php setcookie("DedeUserID", $uid, $time, "/", "", true, true); // Secure + HttpOnly ``` 2. 定期审计XSS漏洞,避免HttpOnly被绕过[^1]。 3. 参考Tomcat安全配置原则,删除无用文件、关闭调试信息[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值