禁止js获取sessionid

来源：互联网发布：网络语浪是什么意思编辑：程序博客网时间：2024/05/14 04:17

禁止js获取sessionid

(2014-11-19 10:07:17)

转载▼

标签：

佛学

分类： javascript

一般扫描报告等级定为低危，如appscan。

一般的Cookie都是从document对象中获得的，现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的 document对象中就看不到Cookie了，而浏览器在浏览的时候不受任何影响，因为Cookie会被放在浏览器头中发送出去(包括ajax的时候)，应用程序也一般不会在js里操作这些敏感Cookie的，对于一些敏感的Cookie我们采用HttpOnly，对于一些需要在应用程序中用js操作的cookie我们就不予设置，这样就保障了Cookie信息的安全也保证了应用。

Secure和HttpOnly：

Secure属性：

当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。

HttpOnly属性：

如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

在Java的Web容器中设置该属性：

在Java的web应用里，我们要保护的有JSESSIONID这个cookie，因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的。所以这个cookie是不应该由客户端脚本来操作的，它很适合用HttpOnly来标识它。

在tomcat6和之前版本执行alert(document.cookie);会返回sessionid。

解决方法：

在tomcat6之前只能按照如下方法设置HttpOnly：

String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

对于tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启或禁止HttpOnly：

在tomcat7中默认是true，不用修改

tomcat7返回的js代码Set-Cookie: JSESSIONID=B7587AE3765290179B8CE4027545391F; Path=/cems2; HttpOnly

0 0

禁止js获取sessionid

禁止js获取sessionid

佛学

转载列表：