本文介绍了Web应用中关于Cookie安全的两个重要属性:HttpOnly和Secure。HttpOnly属性能防止JavaScript访问Cookie,降低Cookie被XSS攻击窃取的风险。而Secure属性确保Cookie只在HTTPS安全连接下传输,避免在网络传输中被窃听。针对这两个问题,给出了在Web应用程序服务器(WAS)上启用这两个属性的配置步骤,包括登录WAS控制台、修改会话管理和启用相关设置,从而增强网站的安全性。
1.安全问题描述
1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息
2.secure属性设置为Flase时,Cookie存在被窃听的风险
2.问题如下图所示
3.修复方案
1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.httponly(v=vs.110).aspx
2.Cookie中的Secure属性,以下网址为详细介绍Cookie中的Secure属性:
https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.secure(v=vs.110).aspx
4.方案实施
遇到问题应用部署在WAS上,而WAS本身存在配置可以增加HttpOnly和Secure属性。
1.登录WAS控制台,点击进入应用配置
2.进入“会话管理”
3.点击“启用cookie”
4.如图勾选。勾选第一项,cookie自带secure;勾选第二项,cookie自带httponly。
5.保存,即可生效。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
