加密会话(SSL)Cookie 中缺少 Secure 属性
来源:互联网 发布:影视包装培训软件 编辑:程序博客网 时间:2024/05/16 10:43
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。
首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookie,cookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他用途而产生的各种cookie。
首先看第一种,第一种可通过在was管理控制台配置,如下图所示:
至于第二种,则在系统设置cookie的时候,把cookie的secure属性设为true就行了。设置了secure属性的cookie只在https中传输和分享,http是不传输的哦,所以大家要注意了,由于我是http与https混用的,所以我多加了一个判断,当协议名为https的时候才设置这个属性,通过requets.getScheme来判断。
cookie.setSecure(true);
0 0
- 加密会话(SSL)Cookie 中缺少 Secure 属性
- IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法
- 会话cookie中缺少secure属性
- 检验-会话cookie中缺少HttpOnly属性
- 会话cookie中缺少HttpOnly属性
- 检验-会话cookie中缺少HttpOnly属性
- 会话 cookie 中缺少HttpOnly 属性 的问题
- 检测到会话cookie中缺少HttpOnly属性
- 网站安全测试,会话 cookie 中缺少 HttpOnly 属性
- COOKIE的SECURE属性
- 关于ASP 中 cookie的 secure属性说明
- Http中Cookie的HttpOnly和secure属性
- SSL(Secure Sockets Layer)
- SSL(Secure Socket Layer)
- Servlet中会话之cookie(7)
- Cookie设置HttpOnly,Secure,Expire属性
- Cookie对象HttpOnly和secure属性
- Cookie设置HttpOnly,Secure,Expire属性
- iOS开源项目推荐|侧滑与右滑返回手势;几句代码快速集成自定义转场效果+ 全手势驱动
- 解决 "X: user not authorized to run the X server, aborting."
- 前端框架之SiteMesh
- Linux 解除安裝 Java?
- Android ConditionVariable
- 加密会话(SSL)Cookie 中缺少 Secure 属性
- Java基础——初始化块
- firefox profile问题的排查
- self和Super的msgSend
- 仿饿了么百度地图定位
- POJ1006 Biorhythms (CRT)
- 32位与64位下各类型长度对比
- Linux syslog机制
- 【图形学与游戏编程】开发笔记-基础篇2:DX11初始化