HTTP-only Cookie 脚本获取JSESSIONID的方法
来源:互联网 发布:网络证据 编辑:程序博客网 时间:2024/06/17 06:35
一般扫描报告等级定为低危,如appscan。
一般的Cookie都是从document对象中获得的,现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的 document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。
Secure属性:
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
HttpOnly属性:
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
在Java的web应用里,我们要保护的有JSESSIONID这个cookie,因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的。所以这个cookie是不应该由客户端脚本来操作的,它很适合用HttpOnly来标识它。
在tomcat6之前只能按照如下方法设置HttpOnly:
String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");
对于tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context path="" docBase="D:/WORKDIR/oschina/webapp" reloadable="false"useHttpOnly="true"/>
也可以在
<session-config>
</session-config>
<session-descriptor>
<cookie-http-only>false</cookie-http-only>
</session-descriptor>
但由于weblogic的版本的不同,weblogic.xml的对该参数的支持也不太一样
已知的如下:
这是10.3.3的有关weblgic_xml的定义
http://download.oracle.com/docs/cd/E14571_01/web.1111/e13712/weblogic_xml.htm#i1071981
这是10.3.1和10.3.2的有关weblgic_xml的定义
http://download.oracle.com/docs/cd/E15523_01/web.1111/e13712/weblogic_xml.htm#i1071981
可以看出weblogic在10.3.3中支持在weblogic.xml里配置
<session-descriptor>
<cookie-http-only>false</cookie-http-only>
</session-descriptor>
经过进一步查看10.3.4和10.3.5中都支持该参数的配置
而9.2版本也支持该参数的配置
如下路径http://download.oracle.com/docs/cd/E13222_01/wls/docs92/webapp/weblogic_xml.html#wp1071982
所以好像这个参数出现的版本不太固定
相关路径:
http://www.iteye.com/topic/1114228
http://download.oracle.com/docs/cd/E13222_01/wls/docs92/webapp/weblogic_xml.html
http://serverfault.com/questions/151107/http-only-cookies-in-weblogic-what-versions-support-them-how-and-why-are-they-su
http://cn.forums.oracle.com/forums/thread.jspa?threadID=1518073
http://cn.forums.oracle.com/forums/thread.jspa?threadID=953056
对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly
1
<httpCookies httpOnlyCookies
=
"true"
…>
而程序的处理方式如下:C#:
1
HttpCookie myCookie =
new
HttpCookie(
"myCookie"
);
2
myCookie.HttpOnly =
true
;
3
Response.AppendCookie(myCookie);
VB.NET:
1
Dim
myCookie
As
HttpCookie = new HttpCookie(
"myCookie"
)
2
myCookie.HttpOnly =
True
3
Response.AppendCookie(myCookie)
.NET 1.1只能手工处理:
1
Response.Cookies[cookie].Path +=
";HttpOnly"
;
PHP 从 5.2.0 版本开始就支持 HttpOnly
1
session.cookie_httponly = True
- XSS与HTTP-only Cookie 脚本获取JSESSIONID的方法
- HTTP-only Cookie 脚本获取JSESSIONID的方法
- HTTP-only cookie
- cookie值获取出JSESSIONID=C7A2EB23B029226E6279448D1CFD6207
- cookie不能获取自己设置的,只能获取系统的名字为JSESSIONID的cookie的解决办法
- applet遇到http-only cookie的处理方式
- 禁用cookie之后 jsessionid的重写问题
- AFHTTPSessionManager获取cookie的方法
- 利用HTTP-only Cookie缓解XSS
- JSESSIONID、SESSION、cookie
- JSESSIONID、SESSION、cookie .
- JSESSIONID、SESSION、cookie
- cookie session sessionid jsessionid
- cookie和Jsessionid
- JSESSIONID、SESSION、cookie .
- Session,Jsessionid, Cookie浅谈
- JSESSIONID、SESSION、cookie
- JSESSIONID、SESSION、cookie .
- JQuery中$.each 和$(selector).each()的区别详解
- 排序算法总结
- nodejs 简单实现动态html
- POJ 1742 Coins(多重背包)
- 基于redis的延迟消息队列设计
- HTTP-only Cookie 脚本获取JSESSIONID的方法
- ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)
- vs实用快捷键
- Java冒泡,选择,插入排序算法
- fopen自动创建文件失败(文件路径检查创建)
- java.lang.NoClassDefFoundError: Failed resolution of: Lokhttp3/internal/Platform
- 字符串 最小表示法 O(n)算法 【模板】
- 读《IBM蓝色基因百年智慧》
- spring事务的隔离级别。如何避免脏读或者幻读