安全问题-Cookie未设置HttpOnly&&Cookie未设置Secure标识

最新推荐文章于 2025-05-30 13:55:35 发布
最新推荐文章于 2025-05-30 13:55:35 发布
阅读量1.9w 收藏 18
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 系统安全漏洞 文章标签: Cookie HttpOnly Secure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaHeShun/article/details/83339072
本文介绍了一种通过使用CookieFilter类来解决Cookie未设置HttpOnly和Secure标识的安全问题的方法。通过在web.xml中配置过滤器,可以增强Web应用的Cookie安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阿里机测的系统漏洞(懒得打字,给报告部分截图):
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

问题解决:

过滤器处理一下就行了

CookieFilter.java

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class CookieFilter
 * 
 * 解决 Cookie未设置HttpOnly  &&  Cookie未设置Secure标识  问题
 * 
 * @author xiaheshun
 */
public class CookieFilter implements Filter {

    /**
     * Default constructor. 
     */
    public CookieFilter() {
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}

	/**
	 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
	 */
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request; 
		HttpServletResponse resp = (HttpServletResponse)response;
		Cookie[] cookies = req.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				String value = cookie.getValue();
				StringBuilder builder = new StringBuilder();
				builder.append(cookie.getName()+"="+value+";");
				builder.append("Secure;");//Cookie设置Secure标识
				builder.append("HttpOnly;");//Cookie设置HttpOnly
//				Calendar cal = Calendar.getInstance();
//				cal.add(Calendar.HOUR, 1);
//				Date date = cal.getTime();
//				Locale locale = Locale.CHINA;
//				SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
//				builder.append("Expires="+sdf.format(date));
				resp.addHeader("Set-Cookie", builder.toString());
				
			}
			
		}
		chain.doFilter(request, response);
	}

	/**
	 * @see Filter#init(FilterConfig)
	 */
	public void init(FilterConfig fConfig) throws ServletException {
		// TODO Auto-generated method stub
	}

}

web.xml

<!--xiaheshun 阿里云检测漏洞问题   解决   Cookie设置HttpOnly  &&  Cookie设置Secure标识  -->
	<filter>
		<filter-name>cookieFilter</filter-name>
		<filter-class>com.hxptp.filter.CookieFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>cookieFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>

解决成果:

此处不列举自己公司的截图,用蘑菇街的截图。

在这里插入图片描述

可能遇到的小小坑…也可能就我碰到的。

在设置Set-Cookie的时候,用addHeader,如果用setHeader的话,就只是设置一个cookie值得头信息限制,其实在平时会有很多cookie里的主要参数信息需要限制,有的消息也会有不同的浏览器可以存储的时间,所有要一个一个遍历出来设置Cookie的信息。

代码中有设置过期时间的,注释掉了,需要的时候,可以拿出来用。

web应用安全评估报告:会话Cookie设置Secure属性(如果网站部署 HTTPS,则无法使用 Secure 属性。)
专注于计算机研发知识和资讯分享
01-02 885
HTTP Cookie 用于管理用户会话、存储用户个性化首选项以及跟踪用户行为。使用浏览器的应用程序工具的“Cookie”窗格可以查看、编辑和删除网页的 HTTP Cookiecookie:服务器端保存在浏览器端的数据片段,以 key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的 cookie 数据。网站经常使用这个技术来识别用户是否登陆等功能。建议token机制的升级:基于httpsession进行存储,存在跨域问题,无法适用于小程序。
cookiesecure属性详解
09-03
Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。
【系统安全cookie设置Httponly属性和设置Secure标识
Tastill的博客
12-11 1万+
第三方公司做了系统安全测试,提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...
If possible, you should set the HttpOnly flag for these cookies 修复方案
最新发布
上班搞IT,下班搞ITF。
05-30 369
配置 HttpOnly:在服务器、代码或 CDN 中强制启用。 验证:通过浏览器/命令行检查。 例外处理:对必须前端访问的 Cookie 单独处理。 修复后,即使网站存在 XSS 漏洞,攻击者也无法窃取关键 Cookie! 🔒
安全检测:会话cookie中缺少HttpOnly属性
qq_37432174的博客
01-02 7335
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
没有设置 HttpOnly 标志的 Cookie
m0_47005349的博客
05-31 1382
PHP中的设置 PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly设置,在php.ini中 session.cookie_httponly = 设置其值为1或者TRUE,来开启全局的CookieHttpOnly属性,当然也支持在代码中来开启: <?php ini_set("session.cookie_httponly", 1); // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE
会话Cookies被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 9263
会话Cookies被标记为HTTPOnly 漏洞描述 如果在cookie设置HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie设置HttpOnly标志。 除非你特别要求在你的应用程序中,通过合法的
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 4391
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
cookie设置httpOnlysecure属性实现及问题
01-03
### Cookie设置httpOnlysecure属性实现及问题 #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...
01.安全扫描之解决Cookie设置Secure标识问题
bigdata_li的博客
01-10 1万+
1.问题描述 cookie设置Secure标识Cookie中有一个Sevure标识,如果设置了,那么这个cookie只会再https下被发送出去,https的传输时加密的,减少敏感cookie再http明文传输时泄露的可能性 2.解决方案 在web.xml中添加一个对controller的过滤器 <filter> <filter-n...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
backerli的博客
09-25 5641
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上SecureHttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie设置Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
cookie分析工具
09-13
一款很强大的cookie分析工具,支持ie浏览器,运行简单,可以对你电脑中保存的ie浏览记录进行分析。
使用HttpOnly提升Cookie安全
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
Cookie没有HTTP Only标志漏洞
waitle500的博客
01-26 2741
Cookie没有HTTP Only标志漏洞
cookie分析
weixin_34161029的博客
10-22 229
浏览器cookie分析 简单点说就是数据存储,通过JavaScript将要保存的数据保存在客户端浏览器,下次打开网页时调用保存的cookie。浏览器中cookie保存的形式:user=aa; pwd=123; sex=man; 还要注意的是cookie的过期时间expires。好了!简单分析到此结束,开始代码吧! END 百度经验:jingyan.ba...
cookiehttponly问题
左直拳的马桶_日用桶
06-01 1462
更奇怪的是,进一步调试,发现别的cookie都能顺利更新,唯独这个token不行。这代表该cookie无法被javascript操纵,既不能读取,更不能更改或删除,所以就无法被前端脚本所操作,只能是浏览器自己玩。cookie里的token还是旧的,这样的话,到后台请求资源,带上的token还是旧的,系统认为没有登录,于是退出,又回到了登录界面。鉴于“token”这个名字,差不多等于系统保留字,猜测是后台调用了其他系统返回所导致,覆盖了我们自己那个。于是将“token”改为“mytoken”,以进一步观察。
使用CodeQL分析启用HttpOnly属性的Cookie问题
XvrgMatlab的博客
10-08 384
HttpOnly是一个Cookie属性,它可以通过在服务器响应中设置"Set-Cookie"标头来启用。当HttpOnly属性设置为true时,浏览器将禁止通过客户端脚本(如JavaScript)访问Cookie。这样可以有效地防止跨站脚本攻击(XSS)和其他安全威胁。
漏洞修复:Cookie Security: HTTPOnly not Set on Application Cookie
CutelittleBo的博客
01-28 4182
描述 The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be
Cookie 信息泄露 Cookie设置http only属性 原理以及修复方法
it知识分享 free for nothing..
03-18 1922
Cookie 信息泄露 Cookie设置http only属性 原理以及修复方法
Cookie 设置 Secure 标志和 HttpOnly 标志,以提高安全性:
12-28
### 设置 CookieSecureHttpOnly 标志 为了提高 Web 应用程序的安全性,设置 Cookie 时应考虑添加 `Secure` 和 `HttpOnly` 标志。这两个标志能够显著减少通过网络传输和客户端脚本访问带来的风险。 #### 使用 PHP 设置带有 SecureHttpOnly 标志的 Cookie 当使用 PHP 来创建一个具有更高安全性的 Cookie 时,可以通过调用 `setcookie()` 函数并传递额外参数来实现: ```php <?php // 创建名为 'example_cookie' 的 Cookie 并启用 SecureHttpOnly 标志 $cookie_name = "example_cookie"; $value = "some_value"; $expire = time() + (86400 * 30); // 设置过期时间为 30 天后 $path = "/"; // 将路径设为根目录以便整个网站可用 $domain = ""; // 不指定域名则默认当前域有效 $is_secure = true; // 只允许通过 HTTPS 发送此 Cookie $is_httponly = true; // 防止 JavaScript 访问该 Cookie setcookie($cookie_name, $value, [ 'expires' => $expire, 'path' => $path, 'domain' => $domain, 'secure' => $is_secure, 'httponly'=> $is_httponly, ]); ?> ``` 这段代码展示了如何配置一个既受保护又不容易受到跨站脚本攻击(XSS)影响的 Cookie[^2]。 #### 结合 HTML 表单提交场景下的实践应用 假设有一个登录表单用于验证用户身份,在成功认证之后服务端应当返回一个新的 Session ID 给前端作为后续请求的身份凭证。此时应该确保这个新的 Session ID 被存储在一个启用了上述两个重要选项 (`Secure`, `HttpOnly`) 的 Cookie 中[^3]。 #### 关键点总结 - **Secure**: 当设置了 `Secure` 属性后,浏览器只会通过 HTTPS 协议向服务器发送包含这些 Cookies 的请求;这有助于防止中间人攻击(MitM),因为即使在网络监听的情况下也无法轻易获取到用户的敏感信息。 - **HttpOnly**: 此标记阻止了网页上的任何 JavaScript 对象模型(document.cookie API)读取特定名称对应的值,从而降低了由于 XSS 导致的信息泄露可能性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值