为Cookies增加Secure属性

最新推荐文章于 2025-05-06 09:26:11 发布
最新推荐文章于 2025-05-06 09:26:11 发布
阅读量1.3w 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java web tomcat 文章标签: tomcat web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_1034/article/details/82677632
1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

为了提高网站安全性,创建的cookie要增加secure属性,但此属性仅限于https协议时,该cookie才能被读取到,因此定义的时候要注意为https协议。
另外,名为jessionId的为Tomcat创建的cookie,应该在server.xml中进行配置 

<Connector port="8080"
                connectionTimeout="20000"                URIEncoding="UTF-8"
protocol="org.apache.coyote.http11.Http11NioProtocol"
            secure="true"
                />

增加secure="true"属性配置即可。
httponly属性,需要在 
<Context docBase="web" path="/web" reloadable="false" useHttpOnly="true" sessionCookiePath="/" />
中配置。
sessionCookiePath是修改jsessionid的path的
至于程序中增加属性采用: 

Cookie cookie = new Cookie(name, value);
		cookie.setPath("/");
		cookie.setMaxAge(-1);
		if (isHttps)
			cookie.setSecure(true);
		cookie.setHttpOnly(true);
		response.addCookie(cookie);

即可。
web应用安全评估报告:会话Cookie未设置Secure属性(如果网站未部署 HTTPS,则无法使用 Secure 属性。)
专注于计算机研发知识和资讯分享
01-02 793
HTTP Cookie 用于管理用户会话、存储用户个性化首选项以及跟踪用户行为。使用浏览器的应用程序工具的“Cookie”窗格可以查看、编辑和删除网页的 HTTP Cookiecookie:服务器端保存在浏览器端的数据片段,以 key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的 cookie 数据。网站经常使用这个技术来识别用户是否登陆等功能。建议token机制的升级:基于httpsession进行存储,存在跨域问题,无法适用于小程序。
Cookie 的 setSecure() 方法详解及编程示例
TechO_O的博客
09-14 686
setSecure() 是 Cookie 类的一个方法,用于设置 Cookiesecure 属性。然后,通过调用 setSecure(true) 方法,将 secure 属性设置为 true。其中,setSecure() 方法是用于设置 Cookiesecure 属性的方法。本文将详细介绍 setSecure() 方法的作用和用法,并提供相应的编程示例。需要注意的是,为了使用 setSecure() 方法,需要在使用该 Cookie 的页面或资源通过安全连接(HTTPS)进行访问。
如何设置HTTPOnly和Secure Cookie标志?
只会写bug
02-26 1347
设置HttpOnly和Secure标志于Cookie中是增强Web应用安全性的重要措施。这两个标志帮助防止跨站脚本攻击(XSS)和中间人攻击(MitM)。
HTTP 与 HTTPS 的深度剖析:差异、原理与应用场景
最新发布
m0_67544876的博客
05-06 1506
HTTP 是一种基于 TCP/IP 协议的应用层协议,用于在 Web 浏览器和 Web 服务器之间传输超文本,是互联网早期发展的基石。它采用请求 - 响应模式,客户端向服务器发送请求,服务器返回响应。例如,当我们在浏览器地址栏输入网址并按下回车键时,浏览器就会向对应的服务器发送 HTTP 请求,获取网页内容并展示给我们。HTTPS 则是在 HTTP 的基础上加入了 SSL/TLS(安全套接字层 / 传输层安全)协议,旨在为数据传输提供安全保障。
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
cooiek的Secure属性设置
m0_61560589的博客
10-11 2262
cooiek中有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek中要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
cookie增加Secure属性
weixin_33739627的博客
03-14 1680
2019独角兽企业重金招聘Python工程师标准>>> ...
Cookie属性secure、httponly
weixin_44843710的博客
12-02 3499
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
CookieSecure属性
weixin_30549175的博客
12-15 2040
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
HTTPS请求头缺少HttpOnly和Secure属性解决方案
李木子的博客
07-16 659
等保测评
前端cookies安全视频
12-14
3. 定期刷新:定期更新Cookies的内容,增加攻击者利用已知Cookies的难度。 视频内容可能还包括实战示例,演示如何在JavaScript中创建、读取和删除Cookies,并解释如何在实际项目中应用上述安全措施。观看此视频,...
【系统安全】cookie未设置Httponly属性和未设置Secure标识
热门推荐
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookiesecure属性详解
12-07
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。 顾名思义,这个属性就是用来保证cookie的安全的。 当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。 简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2) 1. 先在console1中输入以下代码 [removed] =
Cookie属性SameSite作用
橘导的博客
04-29 814
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
cookie setSecure详解
zzhongcy的专栏
03-31 8482
最近项目用检测漏洞 在cas中或其他web开发中,会碰到安全cookie的概念,因为CAS中TGT是存放在安全cookie中的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
c# 配置cookie Secure属性
qq_43949291的博客
01-11 728
c# 配置 cookie secucre属性
COOKIESECURE属性
几钱清风
11-17 7637
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
【漏洞修复】--nginx为Cookie添加Secure标记
u012429202的博客
07-31 4097
如上配置,在全局server中添加:proxy_cookie_path / "/;在https环境中,等保要求为 set-cookie增加secure属性(为了安全,防止http请求时使用此cookie)检查“Response Headers”(或类似名称),查找名为“Set-Cookie”的响应头。打开浏览器的开发者工具(通常是按下F12键),切换到“Network”或“网络”选项卡。在开发者工具中,选择与您访问的网站对应的请求(通常是网站首页的请求)。访问您配置了添加Secure标记的网站。
红日靶场2
04-02
<think>嗯,用户想找关于红日靶场的IT内容或技术资料,特别是涉及IT安全、靶场平台、漏洞测试和网络安全的信息。首先,我需要回顾一下用户提供的引用内容,看看哪些部分可以应用到这里。引用[1]提到红日靶场模拟了国内企业的实际业务场景,包括CMS、漏洞管理、域管理等,这应该和用户的需求相关。引用[2]和[3]分别涉及Weblogic漏洞利用和具体的工具使用,比如Redis、MDUT等,还有CVE漏洞的利用。引用[4]是关于日志清理的命令,可能和渗透后的痕迹清理有关。 用户的问题是要寻找相关的技术资料,可能需要包括靶场的设计理念、具体漏洞的利用方法、使用的工具以及渗透测试的步骤。我需要把这些信息整合起来,按照用户要求的格式,分点回答,结构清晰,同时生成相关问题。 接下来要确保回答中提到的技术点都有对应的引用来源,比如红日靶场的环境设计引用[1],Weblogic漏洞引用[2],工具使用引用[3],日志清理引用[4]。同时,需要检查用户提供的系统级指令,比如数学表达式使用$...$,但在这个问题中可能用不上,不过要留意是否有数学相关的内容。用户还要求生成相关问题,这部分需要围绕红日靶场的技术点来提问,比如渗透测试流程、漏洞利用方法、工具使用等。 另外,要确保回答用中文,并且引用标识自然添加在段落末尾。例如,在提到靶场设计时引用[^1],提到Weblogic漏洞时引用[^2],工具使用引用[^3],日志清理引用[^4]。需要避免使用Markdown格式,但用户给的示例中使用了代码块,可能需要在回答中包含代码示例,比如日志清理的命令,这时候用反引号包裹。 最后,生成的相关问题要围绕红日靶场的不同方面,比如环境搭建、漏洞分析、工具使用、渗透技巧等,确保问题具有针对性和实用性,帮助用户进一步探索相关内容。</think>### 红日靶场 IT安全技术解析 红日靶场作为国内领先的渗透测试训练平台,其核心价值在于**真实企业场景模拟**和**ATT&CK攻防框架实践**。以下是关键技术要点: #### 1. 靶场环境架构设计 - **多维度渗透路径**:覆盖Web应用层(如CMS漏洞)、中间件层(WebLogic漏洞)、内网域控等层级 - **典型漏洞集成**- **典型漏洞集成**: - **WebLogic反序列化漏洞**(CVE-2016-0638):通过`WebLogicTool`扫描验证,利用工具直接执行系统命令 ```bash java -jar WebLogicTool.jar -t CVE-2016-0638 -u http://target:7001 ``` - **Laravel远程代码执行**(CVE-2021-3129):使用专用EXP工具实现RCE #### 2. 渗透测试技术栈 - **工具链配置**: - 数据库利用:`Redis Insight`管理Redis数据库,`MDUT`进行多数据库联合攻击 - 后门维持:`Godzilla v2.96`和`中国蚁剑`双通道Webshell管理 - 横向移动:`cdk`检测容器环境漏洞,`mimikatz`抓取域凭据 - **痕迹清理技术**: ```powershell wevtutil cl security # 清除安全日志 wevtutil cl system # 清除系统日志 ``` 需配合`meterpreter`的`clearev`模块实现自动化清理 #### 3. 域渗透专项训练 - **黄金票据伪造**:通过域控服务器获取KRBTGT账户的NTLM哈希 - **SMB中继攻击**:利用Responder工具捕获Net-NTLMv2哈希 - **GPO策略利用**:通过组策略部署恶意计划任务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值