Tomcat为Cookie设置HttpOnly属性
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Tomcat为Cookie设置HttpOnly属性相关的知识,希望对你有一定的参考价值。
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的;
B:服务端可以自定义建立Cookie对象及属性传递到客户端;
服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);
方法:
为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在tomcat6的conf/context.xml配置文件中配置:
<Context useHttpOnly="true">
为自定义Cookie及属性添加HttpOnly属性,在Set-Cookie头部信息设置时可以添加“HttpOnly”
验证:
1,抓包验证任意http响应的内容,确实任意客户端请求的回应包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”:
GET /monitor/ HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */* Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322) Accept-Encoding: gzip, deflate Host: 192.168.245.1 Connection: Keep-Alive HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly Set-Cookie:; HttpOnly Content-Type: text/html;charset=UTF-8 Content-Length: 2518 Date: Wed, 20 Jul 2016 08:14:42 GMT
2,在浏览器端调试js脚本,确实使用document.cookie读取在服务端设置的Cookie对象时,读取内容为空:
document.cookie ""
以上是关于Tomcat为Cookie设置HttpOnly属性的主要内容,如果未能解决你的问题,请参考以下文章
用javascript能不能提取httponly属性的cookie