安全03-修改WAS配置解决请求头中缺少httponly、secure字段问题

最新推荐文章于 2025-10-11 13:20:56 发布
原创 最新推荐文章于 2025-10-11 13:20:56 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #中间件 #was #安全 #安全漏洞

本文介绍了Web应用中关于Cookie安全的两个重要属性:HttpOnly和Secure。HttpOnly属性能防止JavaScript访问Cookie,降低Cookie被XSS攻击窃取的风险。而Secure属性确保Cookie只在HTTPS安全连接下传输,避免在网络传输中被窃听。针对这两个问题,给出了在Web应用程序服务器(WAS)上启用这两个属性的配置步骤,包括登录WAS控制台、修改会话管理和启用相关设置,从而增强网站的安全性。

1.安全问题描述

1.用HttpOnly属性可能导致 Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息,攻击者可以重放窃取的Cookie,以便伪装成用户或获取敏感信息
2.secure属性设置为Flase时,Cookie存在被窃听的风险

2.问题如下图所示
在这里插入图片描述
3.修复方案

1.Cookie中加上HttpOnly标识,以下网址为详细介绍Cookie中的HttpOnly标识:https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.httponly(v=vs.110).aspx

2.Cookie中的Secure属性,以下网址为详细介绍Cookie中的Secure属性:
https://msdn.microsoft.com/zh-cn/library/system.web.httpcookie.secure(v=vs.110).aspx

4.方案实施

遇到问题应用部署在WAS上,而WAS本身存在配置可以增加HttpOnly和Secure属性。
1.登录WAS控制台,点击进入应用配置

最低0.47元/天 解锁文章
Springboot - 项目的全部可配置属性及其说明
简简单单Onlinezuozuo
04-11 9480
Springboot - 项目的全部可配置属性及其说明 1.可配置的项目如下 // 包含了可配置字段, 默认值,以及说明 // 有机会后面翻译一下 debug=false # Enable debug logs. trace=false # Enable trace logs. # LOGGING logging.config= # Location of the logging c...
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 3751
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
安全漏洞修复帖
weixin_45067120的博客
03-09 2509
整理系统遇到的安全漏洞
漏洞问题解决—Cookies Not Marked as HttpOnly (verified)(低危)
最新发布
前方一片光明
10-11 298
HttpOnly
Cookie 的属性HttpOnlySecure、Expire的作用
subsistent的博客
03-27 1230
设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
WebSphere服务器学习记录(一)之was HttpOnly设置
weixin_41272880的博客
11-26 4401
- 前言 最近遇到个was环境下安全性方面的问题,需要后台返回给前端页面的cookie设置HttpOnly属性,一开始was方面的知识比较匮乏,手动在项目代码拦截器里设置response.setHeader(“Set-Cookie”,“JSESSIONID=${value};HttpOnly”),发现几个问题。 ①发现后台Session对象的属性Id和前端发送请求携带的JESSIONID值有出入...
HTTPS请求头缺少HttpOnlySecure属性解决方案
李木子的博客
07-16 763
等保测评
Werkzeug.exceptions库中的安全问题:避免安全陷阱的实用指南
[Werkzeug.exceptions库中的安全问题:避免安全陷阱的实用指南](https://opengraph.githubassets.com/404475555f8dd0a78c494ee7f1073b4861692b19dbfb9ac6a35b483794147fc1/MinSiThu/role-based-access-control) ...
创建一个Web项目,从请求中抓取Cookie和Session,并设置Cookie信息,使用浏览器访问,浏览器验证Cookie 添加一个filter,在服务器返回的HTTP头部添加TAG; 观察当前主机的网络连接情况,统计本地listen端口数量
08-12
创建一个Filter,实现`javax.servlet.Filter`接口,在`doFilter`方法中处理请求和响应。 #### 2. 抓取和设置Cookie - 从请求中获取Cookie:`request.getCookies()` - 设置Cookie到响应中:`response.addCookie...
47、网络安全与单点登录协议
game4的博客
08-06 63
本博文详细介绍了网络安全中的单点登录协议(SSO)及其常见类型,如OAuth、OpenID Connect和SAML。同时,深入解析了Web应用程序的基本架构、关键技术(如HTML、JavaScript、HTTP cookie等)以及常见的安全攻击类型,如XSS、CSRF和SQL注入,并提供了相应的防范措施。内容旨在帮助开发者更好地理解和保障Web应用程序的安全性,并合理应用单点登录协议以提高系统的安全性和用户体验。
如何设置HTTPOnlySecure Cookie标志?
只会写bug
02-26 2061
设置HttpOnlySecure标志于Cookie中是增强Web应用安全性的重要措施。这两个标志帮助防止跨站脚本攻击(XSS)和中间人攻击(MitM)。
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookie的httponlysecure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
加密会话(SSL)Cookie 中缺少 Secure 属性
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookie,cookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
BES server的http proxy设置
杨江的IT分享专栏
12-16 2421
设置 BES走proxy( it works in my test)http://www.blackberry.com/btsc/KB18680----------------------------------------------测试中,在BES服务器上安装了个ccproxy,国产的http 代理服务器国产的中英文UI的http proxy免费的3用户demo license,测试足够用了到
WAS的具体设置和使用方法(转)
岭南六少
04-18 5564
 WAS的具体设置和使用方法       Microsoft Web Application Stress Tool 是由微软的网站测试人员所开发,专门用来进行实际网站压力测试的一套工具。透过这套功能强大的压力测试工具,您可以使用少量的Client端计算机仿真大量用户上线对网站服务所可能造成的影响,在网站实际上线之前先对您所设计的网站进行如同真实环境下的测试,以找出系统潜在的问题,对系统进
http请求头及相关说明
licheric的博客
10-19 751
1、用自己的语言描述get、post、Accept、Referer、User-Agent、host、cookie、X_Forwarded_for、Location各请求头的含义 GET:请求指定的页面信息 post:提交数据并进行处理请求 Accept:指定能接受的内容类型 Referer:指定网页的跳转来路 User-Agent:简称UA,记录用户所使用的系统和浏览器信息 host:指定的服务器域名或端口号 cookie:相当于身份证标识,用户浏览网站的信息记录 X_Forwarded_for:伪装访问链
关于Websphere 会话管理若干奇葩问题
weixin_33766168的博客
12-09 388
为什么80%的码农都做不了架构师?>>> ...
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
热门推荐
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
http请求报文中的securehttponly
06-07
在HTTP请求报文中,SecureHttpOnly是两个常用的Cookie属性Secure属性是指当浏览器向服务器发送请求时,只有在HTTPS协议下才会携带这个Cookie,这可以增强Cookie的安全性,防止信息被中途窃取或篡改。如果一个Cookie的Secure属性没有设置,那么这个Cookie可以在HTTP和HTTPS协议下都被发送。 HttpOnly属性是指浏览器只能通过HTTP或HTTPS协议来访问这个Cookie,而不能通过JavaScript脚本来访问。这可以防止恶意脚本通过document.cookie来获取到用户的敏感信息,如用户名、密码等。 因此,设置SecureHttpOnly属性可以提高Cookie的安全性,保护用户的隐私信息。在实际开发中,我们可以通过设置服务器的响应头来为Cookie设置这两个属性,例如在Java Servlet中,可以通过HttpServletResponse的addCookie方法的参数来设置这两个属性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值