Secure属性背景
Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。
浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。
如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。
攻击者即使窃听网络,也无法获取用户明文cookie。
修复思路
设置cookie时,加入属性httponly,但需要注意几点问题:
1、在cookie类中没有找到设置httponly的方法,目前的jdk版本只支持在setHeader时,设置httponly。
2、httponly已经可以防止用户cookie被窃取,只能增加攻击者的难度,不能达到完全防御XSS攻击。
代码修复
在设置认证COOKIE时,加入Secure。参考代码:
response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");
服务器配置为HTTPS SSL方式
Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:
<session-config> <cookie-config> <secure>true</secure> </cookie-config> </session-config>
ASP.NET的Web.config中进行如下配置:
<httpCookies requireSSL="true" />
php.ini中进行如下配置
session.cookie_secure = True
weblogic中进行如下配置:
<wls:session-descriptor> <wls:cookie-secure>true</wls:cookie-secure> <wls:cookie-http-only>true</wls:cookie-http-only> </wls:session-descriptor>
扫描二维码手机查看该文章
文章引用:https://www.qinghuahulian.com/news/webzhishi/1311.html
在线咨询
电话咨询
