文档章节

利用HttpOnly来防御xss攻击

站在巨人的肩膀上奋斗
 站在巨人的肩膀上奋斗
发布于 2016/05/19 15:49
字数 288
阅读 199
收藏 0

本文讲述将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie(后端代码能还是能获取cookie,详见文章)。

servlet3.0以后就开始,cookie就可以设置为httponly。

1 写一个servlet,核心代码

Cookie cookie = new Cookie("tok","iiii-999-7777");
cookie.setHttpOnly(true);
httpServletResponse.addCookie(cookie);

2 用firefox的firebug就可以看到该cookie为httponly

3 虽然无法通过js获取该cookie,但是能通过后台代码获取到

CookieManager manager=new CookieManager();
manager.setCookiePolicy(CookiePolicy.ACCEPT_ALL);
CookieHandler.setDefault(manager);
URL	url=new URL("http://localhost:8080/framework/cookieServlet");
HttpURLConnection conn= (HttpURLConnection) url.openConnection();
conn.getHeaderFields();

CookieStore store = manager.getCookieStore();

List<HttpCookie> lCookies = store.getCookies();

for (HttpCookie cookie : lCookies){
    System.out.print("name:" + cookie.getName() + ",value:" + cookie.getValue());
}

4 综上:httponly只能防止普通攻击。

© 著作权归作者所有

站在巨人的肩膀上奋斗
粉丝 10
博文 36
码字总数 9855
作品 0
海淀
程序员
私信 提问
web安全:什么是 XSS 和 CSRF

在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。 XSS (Cross Site Script) 跨站脚本攻击 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,...

Shellming
05/30
0
0
WEB攻击手段及防御第1篇-XSS

这种类型攻击者一般通过在网页中嵌入含有恶意攻击脚本的链接,或者通过发送带脚本的链接给受害者,这个脚本链接是攻击者自己的服务器,用户通过点击该链接就能达到攻击的目的。如http://www....

Java技术栈
2017/08/13
0
0
前端安全知识

原文连接 https://jkchao.cn/article/59de0283c52d5a4ba98b1f0d XSS xss: 跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 ja...

三毛丶
2017/10/11
0
0
安全|常见的Web攻击手段之CSRF攻击

对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需...

小怪聊职场
2018/04/21
0
0
安全测试:xss,cookie,xst注入攻防

查找并利用保存型XSS漏洞 确定保存型XSS漏洞的过程与前面描述的确定反射型XSS漏洞的过程有很多相似之处,都包括提交一个特殊的字符窜作为每个页面的第一个参数。但是,这两个过程之间也存在着...

孟飞阳
2016/06/26
742
5

没有更多内容

加载失败,请刷新页面

加载更多

【2019年8月版本】OCP 071认证考试最新版本的考试原题-第5题

choose the best answer The CUSTOMERS table has a CUST_LAST_NAME column of data type VARCHAR2. The table has two rows whose COST_LAST_MANE values are Anderson and Ausson. Which q......

oschina_5359
30分钟前
3
0
电脑怎样制作流程图?分享绘制流程图方法

流程图的绘制可以用很多方法来实现,小编经常使用电脑对流程图进行绘制,即简单又便利,相信很多朋友都因为不知道怎样绘制流程图而选择了放弃,今天这篇文章希望可以让大家重拾绘制流程图的信...

干货趣分享
32分钟前
3
0
Elasticsearch 7.x 之文档、索引和 REST API 【基础入门篇】

前几天写过一篇《Elasticsearch 7.x 最详细安装及配置》,今天继续最新版基础入门内容。这一篇简单总结了 Elasticsearch 7.x 之文档、索引和 REST API。 什么是文档 文档Unique ID 文档元数据...

泥瓦匠BYSocket
35分钟前
3
0
TL665x-EasyEVM开发板处理器、flash、RAM

TL665x-EasyEVM是广州创龙基于SOM-TL665x核心板研发的一款TI C66x多核定点/浮点高性能DSP开发板,采用核心板+底板方式,底板尺寸为200mm*106.65mm,采用4*50pin和1*80pin B2B工业级连接器,稳...

Tronlong创龙
40分钟前
3
0
DevExpress Report-XRTable绑定数据

将从跳转前的页面(A)中获取传入的数据(dtOrd、BatchID、ModelID),绑定到Report报表对应的控件 ,代码如下: this.xrtBatchID.Text = sBatchID; this.xrtModel.Text ...

_Somuns
41分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部