tomcat设置httpOnly

最新推荐文章于 2022-08-02 13:59:01 发布

weixin_33766168

最新推荐文章于 2022-08-02 13:59:01 发布

阅读量1.6k

点赞数

CC 4.0 BY-SA版权

文章标签： java 运维 javascript ViewUI

原文链接：http://blog.51cto.com/2074199/2073136

本文介绍如何在Tomcat6中启用HttpOnly特性，防止SessionID通过JavaScript被读取，增强安全性。只需在context.xml文件中为Context标签添加useHttpOnly属性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

经常看到一些人说tomcat6不支持httponly，查阅官方帮助文档后发现是可以支持的，tomcat6的context.xml配置说明

为什么需要httponly

sessionid一般是以cookie的形式储存和传送的，除非禁用cookie； cookie是可以通过javascript进行读取，所以需禁用sessioid通过javascript进行读取，这时候就可以通过设置Cookie的http-only属性，禁止客户端脚本读取。

tomcat设置

在conf/context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启（true）或禁止（默认）HttpOnly：
<Context useHttpOnly="true">

转载于:https://blog.51cto.com/2074199/2073136

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33766168

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Tomcat为Cookie设置HttpOnly属性

学习记录和开发记录

07-20

2万+

A：Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的； B：服务端可以自定义建立Cookie对象及属性传递到客户端；服务端建立的Cookie如果没有设置HttpOnly属性，则在客户端可以用js读取Cookie中的内容（客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击）；方法：

关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)

热门推荐

sleepincoffee1314的专栏

04-20

1万+

关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件

参与评论您还未登录，请先登录后发表或查看评论

设置Tomcat sessionid的HTTP-only属性

weixin_33966095的博客

10-08

595

2019独角兽企业重金招聘Python工程师标准>>> ...

tomcat配置httponly属性

Jacy2005的博客

08-14

2996

IBM AppScan 安全扫描：提示Cookie 中缺少 Secure 属性处理办法在tomcat/conf/ 下找到context.xml修改<Context useHttpOnly="true">,以下为Apache官网描述 refer ：http://tomcat.apache.org/tomcat-6.0-doc/config/context.html 此问题的原...

cookie设置httpOnly和secure属性实现及问题

01-03

### Cookie设置httpOnly和secure属性实现及问题 #### 一、引言在现代Web开发中，保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...

【系统安全】cookie未设置Httponly属性和未设置Secure标识

Tastill的博客

12-11

1万+

第三方公司做了系统安全测试，提出了这个问题。详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...

漏洞解决方案-HttpOnly设置

smart的博客

08-11

7793

漏洞解决方案-HttpOnly设置漏洞解决方案-HttpOnly设置漏洞概述攻击步骤设置方法漏洞解决方案-HttpOnly设置漏洞概述在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，HTTP-only cookie是一种用以缓解跨站脚本攻击的技术，如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS盗取用户cookie。攻击步骤测试并发现一个存在XSS漏洞网站。通过XSS漏洞，插入恶意链接：

linux中tomcat配置https http【超实用】

刘贵庆的博客

02-07

2617

///tomcat.key为win10中生成的文件。tomcat.jks为腾讯云中“我的证书”Tomcat（JKS格式）下载的ssl证书。之后再存放到/tomcat/apache-tomcat-8.5.75/conf中 //tomcat 证书过期后请替换/tomcat/apache-tomcat-8.5.75/conf中的tomcat.jks文件。

tomcat8设置http only

最新发布

08-06

在Tomcat 8中配置Cookie的HttpOnly属性，可以通过修改`context.xml`和`web.xml`文件来实现。以下是具体的配置步骤： ### 修改 `context.xml` 文件在`conf`目录下的`context.xml`文件中，添加或修改`<Context>`标签...

java设置httponly_Tomcat为Cookie设置HttpOnly属性

weixin_29230649的博客

02-26

1114

B：服务端可以自定义建立Cookie对象及属性传递到客户端；服务端建立的Cookie如果没有设置HttpOnly属性，则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击)；方法：为HttpSession安全性考虑，防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击，可在to...

tomcat 配置httponly

weixin_30295091的博客

08-12

434

tomcat6需手动配置，conf/context.xml <Context useHttpOnly="true"> </Context> 对于tomcat7、8来说不需要手动配置，useHttpOnly选项默认为true。转载于:https://www.cnblogs.com/spacex/p/4724207.html...

web server tomcat 7设置 cookie httpOnly

征客

07-29

2603

在网络上找到的拦截器等，没有达到效果，tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml <Context useHttpOnly="true"></context> 2、修改tomcat/conf/web.xml <session-config> <cookie-config> <......

tomcat

斜杠码农

08-06

310

项目防止xss攻击设置httponly 在网络上找到的拦截器等，没有达到效果，tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml <Context useHttpOnly="true"></context> 2、修改tomcat/conf/web.xml <session-config> <cookie-conf...

Tomcat7新特性?cookie HttpOnly的那些事(sessionid获取麻烦了)

专栏

03-26

720

环境： tomcat6和tomcat7，jdk1.6，j2ee应用，一个applet运行在浏览器中,网站有验证机制现象：成功登录系统后 tomcat6下：applet可以正常运行; tomcat7下：applet运行失败，在加载jar时就失败了分析：查看applet的java控制台：在tomcat6下请求jar时会自动带上JSESSIONID，而在tomcat7中不会导...

使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat

allway2的博客

08-02

2163

根据MicrosoftDeveloperNetwork的说法，HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成，也可以在Tomcat中实现以下内容。作为最佳实践，在修改之前备份配置文件，如果可能在非生产环境中进行测试，以确保它不会破坏应用程序。让我们看看如何实现这一点。...

web渗透测试----33、HttpOnly

七天

06-07

1587

HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性，用以阻止客户端脚本访问Cookie，至今已经称为一个标准，几乎所有的浏览器都会支持HttpOnly。下面示例显示了HTTP响应标头中HttpOnly使用的语法： Set-Cookie: <name>=<value>[; <Max-Age>=<age>] `[; expires=<date>][; domain=&lt

Tomcat 修改Cookies安全性

Hern（宋兆恒）

04-20

6485

修改方法 1、进入Tomcat的conf文件夹，打开context.xml文件 2、将其中的<Context>标签属性更改为<Context useHttpOnly="true">： Cookie常用属性 Cookie名称，Cookie名称必须使用只能用在URL中的字符，一般用字母及数字，不能包含特殊字符，如有特殊字符想要转码。如js操作cookie的时候...