JAVA设置HttpOnly Cookies

最新推荐文章于 2025-07-07 14:00:49 发布
原创 最新推荐文章于 2025-07-07 14:00:49 发布 · 5.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何在Spring Security框架下管理用户的Cookie和Session,包括如何设置HttpOnly属性增强安全性,以及如何通过Session存储用户信息。同时,文章还讨论了在登录处理过程中对手机号和密码的验证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

核心:
1.获取cookie
Cookie[] cookies = request.getCookies();
2.判断cookie是存储用户信息的,设置HttpOnly
for (Cookie cookie2 : cookies) {
System.out.println(cookie2.getName());
System.out.println(cookie2);
if (cookie2.getName().toUpperCase().equals(“JSESSIONID”)) {
cookie2.setHttpOnly(true);
}
}

@RequestMapping("/login")
	public @ResponseBody Map<String, Object> loginHandle(
			@RequestParam(value = "mPhone", required = true) String mPhone,
			@RequestParam(value = "password", required = true) String password,
			@RequestParam(value = "projectId", required = false) Long projectId,
			@RequestParam(value = "productId", required = false) Long productId,
			HttpServletRequest request, Model uiModel
			/**
			 * 直接这样获取cookie会报错	
			 * org.springframework.beans.BeanInstantiationException: Failed to instantiate [javax.servlet.http.Cookie]: No default constructor found; nested exception is java.lang.NoSuchMethodException: javax.servlet.http.Cookie.<init>()

			 */
			//,Cookie cookie
			) {
		Map<String, Object> retMap = new HashMap<String, Object>();
		retMap.put("retCode", 0);// 0标识失败,1标识成功
		if (StringUtils.isBlank(mPhone) || StringUtils.isBlank(password)) {
			retMap.put("retMsg", "请填写用户名或密码");
			return retMap;
		}
		// 判断手机号是否存在
		UserInfo userInfo = userInfoService.getUserInfoByMphone(mPhone);
		if (null == userInfo) {
			retMap.put("retMsg", "手机号未注册");
			return retMap;
		}
		userInfo = userInfoService.loginHandle(mPhone, password);
		if (null == userInfo) {
			retMap.put("retMsg", "密码与手机号不匹配,请重新输入");
			LogUtil.syslog(sqlSession, "用户登录", mPhone + "登录失败");
			return retMap;
		}
		HttpSession session = request.getSession();
		session.getId();
		
		session.setAttribute("webverifyCodeStatus", true);// 验证码验证通过
		session.setAttribute("webuserInfo", userInfo);
		//cookie.setHttpOnly(true);
		//System.out.println(cookie);
		Cookie[] cookies = request.getCookies();
		/**
		 * 一般有几个cookie,但是我们一般需要的是JSESSIONID
		 * Cookie: login_remember=true; login_phone=xxx; JSESSIONID=AB34EC3B5A3A530330BB719B8836FFEF
		 */
		for (Cookie cookie2 : cookies) {
			System.out.println(cookie2.getName());
			System.out.println(cookie2);
			if (cookie2.getName().toUpperCase().equals("JSESSIONID")) {
				cookie2.setHttpOnly(true);
			}
		}
		
		
		// 携带产品信息时,将webnoProduct设置为false
		if (null != projectId && null != productId) {
			session.setAttribute("webproductId", productId);
			session.setAttribute("webprojectId", projectId);
			session.setAttribute("webnoProduct", false);
			//TODO 20170328 begin 临时检查是否出现了返回的信息中,是否出现了项目id与产品中的id不一致的情况
			Long check_project_id = (Long) session.getAttribute("webprojectId");
			Long check_product_id = (Long) session.getAttribute("webproductId");
			Product check_product = productService.getProduct(check_product_id);
			if (null != check_product && !check_product.getProject().equals(check_project_id)) {
				LogUtil.syslog(sqlSession, "登录中出现产品与项目不一致",
						"session中的项目:" + check_project_id + ", 产品中的项目"
								+ check_product.getProject() + ",session中的产品:"
								+ check_product_id);
			}
			//TODO 20170328 END
		} else {
			session.setAttribute("webnoProduct", true);
		}
		retMap.put("retCode", 1);
		// 记录日志
		UserLog userlog = new UserLog();
		userlog.setProject(userInfo.getProject());
		userlog.setType("登录成功");
		userlog.setInfo(userInfo.getmPhone() + "登录成功");
		userlog.setHostId("未知");
		userlog.setSn(null == userInfo.getUniqueId() ? null : userInfo
				.getUniqueId());
		LogUtil.userlog(sqlSession, userlog);
		return retMap;// "ixinweb/xuanzeqiye";
	}
谷歌浏览器HttpOnly跨域请求
weixin_42537012的博客
12-03 1117
谷歌浏览器HttpOnly跨域请求
Java设置Cookie实现SSO登录并实现Cookie项目共享
qq_42767490的博客
10-31 1214
Cookie,一种储存在用户本地终上的数据,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终上的数据(通常经过加密),由用户客户计算机暂时或永久保存的信息。其实 Cookie 就是一个键和一个值构成的,随着服务器的响应发送给客户浏览器。然后客户浏览器会把 Cookie 保存起来,当下一次再访问服务器时把 Cookie 再发送给服务器。
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookiehttponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
CookieHttpOnly属性:作用、配置与前后分工
最新发布
weixin_43172311的博客
07-07 1336
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后开发者在Cookie配置中的分工协作。
如何在Spring Boot中设置HttpOnly Cookie以增强安全性
qq_42763903的博客
03-21 1388
HttpOnly是一个Cookie属性,用于防止客户脚本(如JavaScript)访问该Cookie。当Cookie被标记为HttpOnly时,浏览器将禁止客户脚本通过访问该Cookie,从而有效防止跨站脚本攻击(XSS)。通过设置HttpOnlyCookie,可以有效增强Web应用的安全性,防止XSS攻击等安全威胁。在Spring Boot中,你可以通过或Spring Security等方式轻松设置HttpOnlyCookie。希望本文能帮助你更好地理解和应用HttpOnly
【系统安全】cookie设置Httponly属性和未设置Secure标识
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户脚本访问。Microsoft Internet Ex...
java代码Cookies Not Marked as HttpOnly
09-11
Java中,创建一个`HttpOnly`的Cookie可以通过设置`HttpServletResponse`对象的`addCookie`方法的Cookie实例来实现。以下是一个简单的例子,展示了如何在Java代码中创建并设置一个`HttpOnly`的Cookie: ```java ...
Test_dl.rar_cookie_cookie java_cookies_java cookie
09-24
标题中的“Test_dl.rar_cookie_cookie java_cookies_java cookie”暗示了一个关于Java编程中处理Cookie的教程或项目,可能涉及网络登录验证。描述进一步说明了这个压缩包包含的信息,它提到了如何利用Cookie进行自动...
springBoot设置HttpOnly属性
03-13
### 设置 Spring Boot 中的 HttpOnly 属性 为了增强 Web 应用程序的安全性,在 Spring Boot 中可以通过多种方式设置 `HttpOnly` 属性。一种方法是在应用配置文件中直接指定相关参数。 对于基于 Java 配置的方式,...
在哪里设置httponly属性
07-15
设置HttpOnly属性时,具体的设置方法取决于你使用的编程语言和框架。通常,你可以在服务器生成cookie设置HttpOnly属性。 以下是一些常见的编程语言和框架中设置HttpOnly属性的示例: 1. PHP: ```php ...
Java 开发 | 安全篇 设置CookieHttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookieHttpOnly属性问题 CookieHttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问CookieHttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
Java 设置 httponly cookie
allway2的博客
08-02 5786
JavaHttpCookie类的setHttpOnly(BooleanhttpOnly)方法用于指示cookie是否可以被认为是HTTPOnly。在支持httponlycookie的浏览器(IE6+、FF3.0+)中,如果cookie设置了“httponly”属性,则JavaScript脚本将无法读取cookie信息,可以有效防止XSS攻击,让网站应用更安全。但是J2EE4、J2EE5cookie不提供设置httponly属性的方法,所以如果需要设置httponly属性需要自己处理。...
关于CookieHttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
java httponly设置_cookie 设置 httpOnly属性
weixin_39966020的博客
02-12 1069
cookie 设置 httpOnly属性防止js读取cookie.建立filter拦截器类CookieHttpOnlyFilterimportjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax....
如何利用response.addHeader()方法设置cookie
热门推荐
shandalue的专栏
07-02 2万+
cookie设置HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
javacookie HTTPOnly
lizhangxiong1234的专栏
07-15 3455
Java web程勋中cookie 不能写入HTTPOlny属性。因为到现在为止还没有这样的接口,所以我们只能用变通的方法response.setHeader("Set-Cookie",  "__wsidd=hhghgh;Path=/;Domain=wap.domain.cn;M
java cookie secure_Cookie设置HttpOnly,Secure,Expire属性
weixin_42356811的博客
02-23 392
标签:在eclipese中创建Web工程时,有个dynamic web module version选项,首先解释下这个选项的意思:That version correlates with Servlet API version.Servlet 3.0(released at december 2009 as part of Java EE 6) runs on Servlet 3.0 con...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值