1. ev
  2. Soru-cevap
  3. Tüm oturum çerezlerine 'HttpOnly' özniteliğini ekleyin

Tüm oturum çerezlerine 'HttpOnly' özniteliğini ekleyin

2012-02-29 17 views
8

Web sitem denetlenirken aşağıdaki hatayı aldım. Web sitemi jsp, servlet, java sınıfları kullanarak geliştirdim.Tüm oturum çerezlerine 'HttpOnly' özniteliğini ekleyin

Eksik HttpOnly Oturum Cookie içinde Özellik

Güvenlik

izin, çalmak veya meşru kullanıcının kimliğine bürünmek için kullanılabilecek müşteri oturumu ve kurabiye, manipüle etmek mümkündür Riskler kullanıcı kayıtlarını görüntülemek veya değiştirmek, ve bu kullanıcı

nedenleri:

web uygulaması HttpOnly nitelik

İyileştirme Görevler olmadan oturum çerezleri ayarlar:

tüm oturum çerezleri 'HttpOnly' özelliğini ekleyin

java güvenlik belirtecini geçiyorum Gönder düğmesine tıklandığında gizli parametre olarak. Bu HttpOnly özniteliğini bu simgeye nasıl ekleyebilirim?

kaynak

2012-02-29 Tom

cevap

12

HttpOnly özniteliği Cookies üzerinde ayarlanır ve bunlar (genellikle) istemciden sunucuya istemciden sunucuya istemciden geçirilir. HttpOnly, bir form veya form parametresinde ayarlayabileceğiniz bir özellik değildir. Burada istemci tarayıcıdır ve sunucu Java uygulamanızı çalıştıran Java EE sunucusudur.

Çerezler genellikle bir sunucu tarafından oluşturulur, tarayıcıya iletilir ve sonra geri iletilir. Artık, yararlı olabilecek bir güvenlik deliği de olabilen JavaScript kullanarak Çerezler oluşturmak ve değiştirmek mümkündür. Yani an HttpOnly Cookie is only accessible by the server veya başka bir deyişle, sitenizi bazı XSS ​​saldırılarına karşı koruyan istemci tarafı JavaScript'inden erişilemez. Dolayısıyla Tarayıcı bir HttpOnly Çerezi saklayacak ve geri getirecektir, ancak değiştirmeyecek veya istemciye oluşturmanıza izin vermeyecektir; Sunucuda bir HttpOnly Çerezi oluşturulmalıdır.

JSP kullanıyorsanız, sunucunuzun sizin için oturumları yönetmek üzere otomatik olarak bir Çerez oluşturması olasıdır; HttpOnly özniteliğini ayarlamanız gereken çerez budur. The method to set HttpOnly on your SESSIONID Cooke will be container specific.

kaynak

2012-02-29 06:12:22

+0

tamam ama bu sunucu ve istemci nedir? Biraz daha fazla – Tom

+0

@tom detaylandırabilir misiniz - cevabı biraz daha genişletti. Muhtemelen daha fazla detay almak için cevaptaki bağlantıları takip etmeye değer. –

+0

evet, sadece bir kez daha şüphe duyuyorum: eğer tomcat içinde herhangi bir değişiklik yapacağım, o zaman ben de istemci tarafında httpOnly özniteliği için herhangi bir değişiklik yapmam gerekecek mi? – Tom

2

Oturum çerezlerinde "HttpOnly" özniteliğini ayarladınız mı?

i web.xml dosyasında HttpOnly ayarlamak için https://www.owasp.org/index.php/HttpOnly 

<session-config> 
<cookie-config> 
    <http-only>true</http-only> 
</cookie-config> 
<session-config>

kaynak

2013-09-12 14:49:15 anonymous

1

Kullanımı <http-only> nitelik bunu yapmak için bu kodu buldum.

<session-config> 
<cookie-config> 
    <http-only>true</http-only> 
</cookie-config> 
<session-config>

kaynak

2017-11-16 05:12:32

İlgili konular

 İlgili konular