javaweb-cs应用交互安全
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了javaweb-cs应用交互安全相关的知识,希望对你有一定的参考价值。
javaweb-cs应用交互安全
修改请求头验证xss
Tamper Data修改请求头
moify Headers自定义的修改headers:自定义要修改的headers部分,然后save.然后点击start状态
修改请求头的作用是某些业务逻辑下需要去记录用户的请求头信息到数据库,通过伪造请求头到数据库就可能造成xss和注入漏洞
通过java代码修改请求头 : 设置setRequestProperty
session
session声明周期
1.session默认过期时间为30min,最大时间为1天
2.服务器重启或者关闭session失效
浏览器关闭后session并不会失效,只是浏览器关闭回去记忆关闭前客户端和服务端之间的session信息。因为没有缓存到cookie中,重新打开浏览器后不会带着关闭前sessionid去访问服务器url
当关闭tomcat服务器时,tomcat会在安装目录workCatalinalocalhost项目名下建立session.ser文件,此文件就是session持久化到硬盘中的文件。tomcat重新启动后session.ser会被重新反序列化到内存中,启动后此文件会消失,不过前提是session的对象是可以被序列化的
盗取sessionid的攻击叫做sessionfixation攻击
防范方法:session会话加ip控制,增加tooken验证
以上是关于javaweb-cs应用交互安全的主要内容,如果未能解决你的问题,请参考以下文章