利用HTTP-only Cookie缓解XSS之痛

详细介绍请看: http://netsecurity.51cto.com/art/200902/111143.htm

[size=medium]XSS与HTTP-only Cookie简介[/size]
跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞，常见于当把用户的输入作为HTML提交时，服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险，微软公司的Internet Explorer 6 SP1引入了一项新的特性。

这个特性是为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie。

像这样具有该属性的cookie被称为HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。下面是设置HTTP-only cookie的一个报头的示例：

Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

在java的web应用里, 我们要保护的有JSESSIONID这个cookie, 因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的. 所以这个cookie是不应该由客户端脚本来操作的, 它很适合用HttpOnly来标识它.

但很可惜的是, 只有到了jee6才正式提出这个[url=http://java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly%28boolean%29]api[/url]
对于之前的版本, 我们要如此编写代码

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

对于tomcat6已支持对JSESSIONID的cookie设置HttpOnly, 但是这个选项默认没有开启.
要开启的话, 我们要在 <Context>上进行设置, 使用属性[b]useHttpOnly[/b],
具体文档,请猛击[url=http://tomcat.apache.org/tomcat-6.0-doc/config/context.html]这里[/url]

参考:https://www.owasp.org/index.php/HttpOnly#Using_Java_to_Set_HttpOnly
web安全网站[url=https://www.owasp.org/]the open web application security Project[/url]