關於Cookie 的HttpOnly屬性(java/web操作cookie+Tomcat操作jsessionid)

阿新 • • 發佈：2019-01-25

public class CookieFilter implements Filter {
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	    HttpServletRequest req = (HttpServletRequest) request;
	    HttpServletResponse resp = (HttpServletResponse) response;

	    Cookie[] cookies = req.getCookies();

	    if (cookies != null) {
	            Cookie cookie = cookies[0];
	            if (cookie != null) {
	            	/*cookie.setMaxAge(3600);
	            	cookie.setSecure(true);
	            	resp.addCookie(cookie);*/
	            	
	            	//Servlet 2.5不支援在Cookie上直接設定HttpOnly屬性
	            	String value = cookie.getValue();
	            	StringBuilder builder = new StringBuilder();
	            	builder.append("JSESSIONID=" + value + "; ");
	            	builder.append("Secure; ");
	            	builder.append("HttpOnly; ");
	            	Calendar cal = Calendar.getInstance();
	            	cal.add(Calendar.HOUR, 1);
	            	Date date = cal.getTime();
	            	Locale locale = Locale.CHINA;
	            	SimpleDateFormat sdf = 
	            			new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
	            	builder.append("Expires=" + sdf.format(date));
	            	resp.setHeader("Set-Cookie", builder.toString());
	            }
	    }
	    chain.doFilter(req, resp);
	}

	public void destroy() {
	}

	public void init(FilterConfig arg0) throws ServletException {
	}
}

此段程式碼摘自CookieFilter 這樣我們吧所有的cookie都新增上了HttpOnly屬性。

關於Cookie 的HttpOnly屬性(java/web操作cookie+Tomcat操作jsessionid)

public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOExcept

java web使用Cookie進行會話管理

一、會話的概念　　會話可簡單理解為：使用者開一個瀏覽器，點選多個超連結，訪問伺服器多個web資源，然後關閉瀏覽器，整個過程稱之為一個會話。　　有狀態會話：一個同學來過教室，下次再來教室，我們會知道這個同學曾經來過，這稱之為有狀態會話。二、會話過程中要解決的一些問題？　　每個使用者在使用瀏覽器與伺服器

Java-WEB 中Cookie的使用

今天講的是Cookies簡單應用，這個內容很重要，再講cookie之前介紹了一下會話: 什麼是會話？在日常生活中，從撥通電話到結束通話電話之間的一連串的你問我答的過程就是一個會話。會話可簡單理解為：使用者開一個瀏覽器，點選多個超連結，訪問伺服器多個we

java web session+cookie實現使用者自動登入

在之前的博文中介紹了專案中防止使用者重複登入的方案及解決非法退出異常的處理方法——監聽瀏覽器關閉事件onbeforeunload，傳送ajax請求到伺服器端執行正常退出程式，以避免使用者被鎖死的情況。然後在實際的測試中發現，有些瀏覽器如火狐是無法監聽到befor

cookie httponly屬性

http://blog.csdn.net/u014538198/article/details/41596735 arks the cookie as accessible only through the HTTP protocol. This means that

阿裏雲CentOS7.3配置Java Web應用和Tomcat步驟

tail linux .com 一點 doc document centos7.3 cat java web 阿裏雲的Linux系統包括CentOS7.3配置了密鑰對怎樣將自己ECS實例綁定密鑰對，並啟用秘鑰： https://help.aliyun.com/docume

java web 開發入門 --- tomcat/servlet/jsp

title 啟動服務軟件完成後 idt head font pac tom 　　在做java web 開發時，首先就要安裝tomcat。tomcat是什麽呢？它就是一個web服務器，也叫web容器，我們把寫好的代碼（jsp, html）放到它裏面，然後啟動它，就可以從外

java web 學習筆記 - tomcat數據源

取數 nbsp pre connect 獲取 text ner auth 每次 1. 數據庫源　以前的JDBC連接步驟為：　　1.加載數據庫驅動 2.通過DriverManger獲取數據庫連接connection 3.通過connection

java web專案在tomcat中以除錯模式執行

轉載地址:https://blog.csdn.net/gk_12/article/details/79689702 自己測試環境是： JDK1.8 Eclipse4.5 tomcat 8.5 如果只是將專案部署在tomcat中並不能進行除錯，所以還需要進行配置一下，步驟如下：

Java Web/Eclipse/Maven/Tomcat

Java Web/Eclipse/Maven/Tomcat 最近有個新專案是java web專案，記錄一下，可能比較亂。雖然沒接觸過Java，但是eclipse還是用過的初識專案同事說，專案是maven打包的，可以用maven開啟服務，我就研究了一下，由於專案不能外露，我先建立一個demo的專案。

java web應用訪問tomcat目錄外檔案的路徑對映問題

只需要編輯%tomcathome%\conf\server.xml檔案，在標籤中增加如何程式碼即可： <Context docBase="D:/autotest_file/local/report" path="/report" debug="0" re

小型Java Web專案之DAO操作標準、DAO介面真實實現類、DAO代理實現類、DAO工廠

DAO模式的好處是資料訪問和業務邏輯分離，便於資料維護，業務邏輯不需要了解訪問細節。 DAO的組成： 1.DatabaseConnection：負責開啟和關閉資料庫； 2.VO：包含屬性以及其getter和setter方法； 3.DAO：定義操作的介面，

eclipse配置tomcat，並部署一個Java web專案到tomcat上

eclipse配置tomcat1、windows——preference2、server——Runtime Environment3、Add下圖中第2表示：選中自己安裝tomcat的目錄建立web專案1、eclipse使用技巧2、建立Java web專案3、4、點選fins

關於java web專案的部署操作

如果你為web專案的部署操作感到煩躁,比如,部署的時候每次都需要再次去點選 redeploy按鈕,才行，或者點了沒用反應，要把整個專案都remove再重新部署,你感覺到了很煩躁,很費時間,那麼你可以再新建一個檔案,來使你的web專案自動部署...基本操作是在專案的webRo

java web應用在tomcat下servlet api包衝突問題

在tomcat 7.0.59版本下，java打得war包依賴了service api的包，然後tomcat啟動報了下面的錯，導致應用啟動失敗，訪問不了。 Mar 20, 2015 11:29:09 PM org.apache.catalina.loader.WebappC

Java web專案從tomcat轉為weblogic環境所遇到的問題

最近公司需要將原本在tomcat上開發的專案部署在weblogic上執行，因為原先對weblogic沒有接觸，不知道tomcat和weblogic的主要區別，只能邊學邊找資料，所以避免不了走了許許多多的彎路。網上的資料可能因為版本、環境的不一致，無法解決問題。

Tomcat為Cookie設置HttpOnly屬性

Tomcat HttpOnly A：Tomcat 中維持Java webapp的Http會話是以Cookie形式實現的存儲在服務端用戶狀態信息的；B：服務端可以自定義建立Cookie對象及屬性傳遞到客戶端；服務端建立的Cookie如果沒有設置HttpOnly屬性，則在客戶端可以用js讀取Cookie中

java過濾器給Cookie加上HttpOnly屬性

網上擼下來的程式碼登入不了… 公司安全掃描出的漏洞之一，看到的第一步就是各種百度，但是簡單複製貼上過來的程式碼連登入都登入不上了… 尷尬;然後發現貌似cookie的Name和value沒有對應上，需要改一點點… 而且原始碼的doFilter(request,

Java Web如何操作Cookie的新增修改和刪除

一、Cookie是什麼 Cookie是伺服器存放在客戶端瀏覽器上的一些小資料，可以使用Cookie完成與伺服器的一些互動動作。伺服器可以通過HTTP響應頭將Cookie傳送給瀏覽器，而瀏覽器如果支援儲存Cookie，則將HTTP響應頭資訊中的Cookie內容存放到瀏覽器中。

Web專案：會話Cookie中缺少HttpOnly屬性和secure屬性

當會話Cookie中不含有HttpOnly屬性和secure屬性時，注入站點的惡意指令碼可能訪問此Cookie，並竊取它的值。任何儲存在會話令牌中的資訊都可能被竊取，並在稍後用於身份盜竊或使用者偽裝。基本上，cookie 的唯一必需屬性是“name”欄位,必

關於Cookie 的HttpOnly屬性(java/web操作cookie+Tomcat操作jsessionid)

相關推薦