Tomcat7新特性?cookie HttpOnly的那些事(sessionid获取麻烦了)

最新推荐文章于 2025-07-07 14:00:49 发布
转载 最新推荐文章于 2025-07-07 14:00:49 发布 · 7.7k 阅读 · 2

本文探讨了在Tomcat7环境下Applet运行失败的问题,并对比了Tomcat6的情况。通过分析发现,问题根源在于Tomcat7默认设置了HttpOnly属性,导致Applet无法获取必要的Cookies。文中提供了解决方案,包括禁用HttpOnly属性或主动发送Cookies。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原地址:http://skzr-org.iteye.com/blog/975884


环境:

tomcat6和tomcat7,jdk1.6,j2ee应用,一个applet运行在浏览器中,网站有验证机制

现象:

  1. 成功登录系统后
  2. tomcat6下:applet可以正常运行;
  3. tomcat7下:applet运行失败,在加载jar时就失败了

分析:

  1. 查看applet的java控制台:在tomcat6下请求jar时会自动带上JSESSIONID,而在tomcat7中不会导致通不过验证机制
  2. 打开wireshark监控通讯,发现,tomcat7下设置cookie为:比tomcat6下多了个HttpOnly
    Js代码   收藏代码
    1. Set-Cookie: JSESSIONID=B7587AE3765290179B8CE4027545391F; Path=/cems2; HttpOnly  
  3. 看来就是因为这个导致applet获取浏览器的cookie值时,被浏览器拒绝了

解决:

  1. 设置应用禁止HttpOnly或身份标识Cookie创建时创建禁止Cookie:useHttpOnly=false即可
    然后安全性自己控制:如cookie加密等
    Xml代码   收藏代码
    1. <?xml version="1.0" encoding="UTF-8" ?>  
    2. <Context path="/${tomcat.deployName}" docBase="${basedir}/WebRoot" useHttpOnly="false"/>  
     
  2. 数字签名不可行,注意applet plugin jvm初始化时,就会去网站检查jar,实际上这个时候还只是jvm plugin load class——我们无法控制,所以也无法动作
  3. jar的访问不验证,签名jar,然后在applet启动时,强制读取cookie(通过签名了),存储cookie到applet环境中——被证明依然不可行,官方好像说jdk1.6u16就解决了这个问题,不过貌似我这里不行ubuntu 10.10 ff和chrome都测试了,试想如果真的可以,那么任何plugin也可以读取,安全性又回到了httponly=false的情形了。
  4. 主动发送cookie,通过在页面设置cookie做为paramters传递给plugin,然后所有访问服务器资源的连接都主动设置此cookie即可,经过验证是可行的。
  5. 权衡1和4,还是采用方法1最快最容易实施
  6. 或启用useHttpOnly=true然后,用户登录后设置cookie[appletkey][HttpOnly=false],所有applet的访问验证都通过appletkey cookie值进行.

【Linux】HTTP协议中的cookie和session
加油,考上985的研究生
09-09 1206
HTTP Cookie(也称为Web Cookie,浏览器Cookie或者简称为Cookie)是服务器发送到用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带并发送到服务器上。通常,它用于告知服务器两个请求是否来自同一个浏览器,如保持用户的登录状态。记录用户偏好等。一般分为内存级和文件级Cookie。HTTP Session是服务器用来跟踪用户与服务器交互期间用户状态的机制。
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
CookieHttpOnly属性:作用、配置与前后端分工
最新发布
weixin_43172311的博客
07-07 1321
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
web server tomcat 7设置 cookie httpOnly
征客
07-29 2604
在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml <Context useHttpOnly="true"></context> 2、修改tomcat/conf/web.xml <session-config> <cookie-config> <......
tomcatsessionId的处理分析
weixin_33713707的博客
07-29 327
tomcat 7sessionId的处理: 首先解析request请求中的sessionID: 从AjpProcessor.java的process(SocketWrapper<Socket> socket)调用CoyoteAdapter.process里面有的postParseRequest(org.apache.coyote.Request req,Reques...
tomcat urlrewrite 去掉jsessionid
tda7088
03-03 617
tomcat urlrewrite时,url地址栏中出现了jsessionid,这对于seo是不友好的,于是上网找了一些资料。 http://tuckey.org/urlrewrite/manual/3.0/urlrewrite-conf-overview-sample.html [quote] Outbound Rule 1 Outbound URL's matching ...
cookie设置httpOnly和secure属性实现及问题
01-03
- **解决方案**: 将SessionID信息在启动Applet时传递进去,并在发送URLConnection请求时重新设置SessionCookie信息。 - **现象2**: 在HTTPS环境下,不允许jsp页面使用URLConnection访问servlet。 - **解决方案**:...
1、当很多人访问同一个服务器,服务器如何来区分不同的用户呢? 2、我们经常说浏览器关闭后session就会被清除,那session有 生命周期么? 3、cookie会 被缓存,sessionid保存 在cookie中,sessionid- 定会被清除么? 4、cookie和session的区别
05-08
好的,我现在需要帮用户解答关于服务器如何区分用户、Session的生命周期、SessionID的清除机制以及Cookie和Session的区别这几个问题。首先,我得回忆一下相关的知识点,并参考提供的引用内容来确保准确性。 首先,...
Cookie、Session、JWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1612
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是Cookie、Session、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
分布式 session
LZN的博客
10-01 444
文章目录一、什么是 session二、什么是 session 失效三、分布式 session 解决方案3.1 session 同步法3.2 客户端存储法3.3 反向代理 hash 一致性3.3.1 四层代理 hash3.3.2 七层代理 hash3.4 后端统一存储四、总结 一、什么是 session 服务器为每个用户创建一个会话,存储用户的相关信息,以便多次请求能够定位到同一个上下文。web 开发中,web-server 可以自动为同一个浏览器的访问用户自动创建 session,提供数据存储功能。最常见的
sessionid 如何产生?由谁产生?保存在哪里?如何设置httpOnly属性
jiawenbo89的专栏
08-03 3926
背景最近要扫描网站,提示网站漏洞,要给cookies加上httponly属性。项目加到cookies里的都加了后发现JSEESIONID这个居然不知道怎么弄。 当然这是sessionid。 关于sessionidcookies的含义内容、关系等暂时不讨论。 下面给JESSONID增加httponly属性。 JESSIONID,由谁设置sessionid是由web容器,中间件设置的。tomc
Java 项目 Tomcat8.x去除默认设置的httpOnly
yuzfengxu的博客
02-21 1万+
1.查看tomcat conf/context.xml文件并修改:&lt;Context useHttpOnly="false"&gt;2.修改项目web.xml&lt;session-config&gt; &lt;session-timeout&gt;20&lt;/session-timeout&gt; &lt;cookie-config&gt; &lt;http-only&gt;fals
关于禁用Cookie的问题以及解决办法
热门推荐
C.
09-10 3万+
Cookie与 Session,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到S
tomcat设置httpOnly
weixin_33766168的博客
02-26 1649
经常看到一些人说tomcat6不支持httponly,查阅官方帮助文档后发现是可以支持的,tomcat6的context.xml配置说明 为什么需要httponly sessionid一般是以cookie的形式储存和传送的,除非禁用cookiecookie是可以通过javascript进行读取,所以需禁用sessioid通过javascript进行读取,这时候就可以通过设置Cookie的htt...
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全性
Iqingshuifurong的博客
10-28 4738
最近安全检测,出现浏览器漏洞HttpOnly. 简单介绍两种解决方案,及 相关知识 1)Xss攻击预防-Spring中使用拦截器配置HttpOnly 2)Xss攻击预防-tomcat配置文件中添加httponly属性 3)HTTP-only Cookie缓解XSS简介 4)SpringMVC-处理器拦截器(HandlerInterceptor)详解 一、Xss攻击预防,Spring中使...
关于HTTP cookiesessionid,token问题
liuxinzenzhen的博客
03-14 2580
1.cookie不安全,而sessionid也是放在cookie里,是不是没有区别,不安全? 答:首先cookie是放在HTTP头部字段的东西,里面存放的是身份标识数据。由于cookie是明文显示的,如果身份标识数据是用户密码,那肯定不安全。存放在客户端,容易被篡改。 而sessionid也是身份标识数据,但是是放在服务端的,就是一个单纯的id,就算被知道了,也不知道用户密码。所有sessionid是存在在cookie里的。 安不安全取决于身份标识数据存放的是什么。而争对cookie安全问题,JS脚本
Session:学习
weixin_46008168的博客
06-08 554
概念:服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession 一次会话代表一次打开浏览器, 比如说一次打开浏览器,然后第一次访问的时候,往Httpsession中,加数据;第二次访问的时候,读取Httpsession数据 快速入门: 获取HttpSession对象: HttpSession session = request.getSession(); 使用HttpSession对象: Object getAttribute(String name) v.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值