青岛网站建设新闻资讯

Cookie缺失secure属性漏洞修复

时间:2022-09-08 已阅读:177次 | 作者:青岛网站建设

首页>新闻资讯>建站知识

Secure属性背景

Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。

浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。

如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。

攻击者即使窃听网络,也无法获取用户明文cookie。


修复思路

设置cookie时,加入属性httponly,但需要注意几点问题:

1、在cookie类中没有找到设置httponly的方法,目前的jdk版本只支持在setHeader时,设置httponly。

2、httponly已经可以防止用户cookie被窃取,只能增加攻击者的难度,不能达到完全防御XSS攻击。


代码修复

在设置认证COOKIE时,加入Secure。参考代码:

response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");

服务器配置为HTTPS SSL方式


Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:

<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>


ASP.NET的Web.config中进行如下配置:

<httpCookies requireSSL="true" />


php.ini中进行如下配置

session.cookie_secure = True


weblogic中进行如下配置:

<wls:session-descriptor>
<wls:cookie-secure>true</wls:cookie-secure>
<wls:cookie-http-only>true</wls:cookie-http-only>
</wls:session-descriptor>



二维码
扫描二维码手机查看该文章

文章引用:https://www.qinghuahulian.com/news/webzhishi/1311.html

相关资讯

我有建站需求

*请正确填写需求信息,我们最快会在1小时内与您取得联系!
注:如果想获取实时咨询报价,您可以拔打业务经理手机186-5321-9163或扫码添加客户经理微信咨询。

Copyright © 2022 青岛青华互联网站建设公司 www.qinghuahulian.com All Rights Reserved
鲁公网安备37020202000800号 鲁ICP备14020555号-4 网站地图 百度地图