1. 程式人生 > >Tomcat為Cookie設置HttpOnly屬性

Tomcat為Cookie設置HttpOnly屬性

Tomcat HttpOnly

A:Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的存儲在服務端用戶狀態信息的;


B:服務端可以自定義建立Cookie對象及屬性傳遞到客戶端;


服務端建立的Cookie如果沒有設置HttpOnly屬性,則在客戶端可以用js讀取Cookie中的內容(客戶端腳本可以讀取Session Cookie內容進行諸如CSRF/XSS惡意http攻擊);



方法:


為HttpSession安全性考慮,防止客戶端腳本讀取Session Cookie內容進行諸如CSRF/XSS惡意http攻擊,可在tomcat6的conf/context.xml配置文件中配置:


<Context useHttpOnly="true">


為自定義Cookie及屬性添加HttpOnly屬性,在Set-Cookie頭部信息設置時可以添加“HttpOnly”



驗證:


1,抓包驗證任意http響應的內容,確實任意客戶端請求的回應包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”:

GET /monitor/ HTTP/1.1

Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)

Accept-Encoding: gzip, deflate

Host: 192.168.245.1

Connection: Keep-Alive


HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly

Set-Cookie:; HttpOnly

Content-Type: text/html;charset=UTF-8

Content-Length: 2518

Date: Wed, 20 Jul 2016 08:14:42 GMT

2,在瀏覽器端調試js腳本,確實使用document.cookie讀取在服務端設置的Cookie對象時,讀取內容為空:

document.cookie    ""


Tomcat為Cookie設置HttpOnly屬性