tomcat配置httponly属性
来源:互联网 发布:电脑三维绘图软件 编辑:程序博客网 时间:2024/06/05 04:54
IBM AppScan 安全扫描:提示Cookie 中缺少 Secure 属性
处理办法在tomcat/conf/ 下找到context.xml修改<Context useHttpOnly="true">,以下为Apache官网描述
refer :http://tomcat.apache.org/tomcat-6.0-doc/config/context.html
此问题的原因在于防范xss攻击,当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
HttpOnly属性:
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性HTTP-only。 这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。
像这样具有该属性的cookie被称为HTTP-only Cookie。包含在HTTP-only Cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。
0 0
- tomcat配置httponly属性
- tomcat配置httponly属性(转帖)
- Tomcat为Cookie设置HttpOnly属性
- tomcat设置httpOnly
- cookie的httponly属性
- setcookie的httponly属性
- cookie httponly属性
- cookie httponly属性
- COOKIE的HttpOnly属性
- 关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
- Tomcat and HttpOnly Session Cookies
- 关于cookie的httponly属性
- 设置cookie的httponly属性
- tomcat属性配置
- 关于属性HTTPONLY的COOKIE的获取
- Cookie设置HttpOnly,Secure,Expire属性
- 有关cookie的httponly属性相关
- PHP设置Cookie的HTTPONLY属性
- eclipse快捷键大全
- 用js显示今天的时间,年月日,包括星期几
- java基础编程,用户自定义替换list列表部分位置元素(基于collections工具类扩展)
- java路径
- 理解多线程设计模式
- tomcat配置httponly属性
- Mysql字段操作—添加字段、删除字段、修改字段名、修改字段类型(约束条件) 、重命名表名
- LeetCode Two Sum
- Objective-C中public、protected、private的使用
- ubuntu terminal选中即复制
- DundasDashboard与微软PerformancePoint 2010差异比较
- 6 ways to download free intraday and tick data for the U.S. stock market
- 的付款后快递费客户开发的很快的非官方几架飞机
- Django模型(model)详细介绍1