[英]Add the 'HttpOnly' attribute to all session cookies
我的網站被審核時出現以下錯誤。 我使用jsp,servlets,java類開發了我的網站。
會話Cookie中缺少HttpOnly屬性
安全風險
可以竊取或操縱客戶會話和cookie,這可能用於冒充合法用戶,允許黑客查看或更改用戶記錄,並以該用戶身份執行交易
原因:
Web應用程序在沒有HttpOnly屬性的情況下設置會話cookie
補救任務:
將“HttpOnly”屬性添加到所有會話cookie
我點擊提交按鈕時將java安全令牌作為隱藏參數傳遞。 如何在該令牌中添加此HttpOnly屬性?
HttpOnly屬性在Cookies上設置,它們(通常)從服務器傳遞到客戶端,而不是從客戶端傳遞到服務器。 HttpOnly不是您可以在表單或表單參數上設置的屬性。 這里客戶端是瀏覽器,服務器是運行Java應用程序的Java EE服務器。
Cookie通常由服務器創建,傳遞給瀏覽器然后傳回。 現在可以使用JavaScript創建和操作Cookie,這可能會有所幫助,但也可能是一個安全漏洞。 因此,HttpOnly Cookie只能由服務器訪問 ,或者換句話說,它無法從客戶端JavaScript訪問,從而保護您的站點免受某些形式的XSS攻擊。 因此瀏覽器將存儲並返回一個HttpOnly Cookie,但它不會改變它或允許您在客戶端上創建它; 必須在服務器上創建HttpOnly Cookie。
如果您正在使用JSP,那么您的服務器可能會自動創建Cookie來為您管理會話; 這是您需要設置HttpOnly屬性的cookie。 在SESSIONID Cooke上設置HttpOnly的方法將特定於容器。
你能在會話cookie中設置“HttpOnly”屬性嗎?
我發現此代碼在https://www.owasp.org/index.php/HttpOnly上執行此操作
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<session-config>
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.