名称叫JSESSIONID的Cookie,HttpOnly明明是true,服务器端获取的HttpOnly的值始终是false

今天遇到一个很奇葩的问题!浏览器中明明有HttpOnly等于true的Cookie,可是从服务器端获取的所有的Cookie的HttpOnly的值都是false!

我的环境是谷歌浏览器 + tomcat7 + eclispe

我是访问一个servlet,然后在servlet中转发到某个jsp页面,我在servlet中,把客户端的所有的Cookie打印出来了!

直接看图:

从图中可以看出浏览器中名称叫JSESSIONID的Cookie的HttpOnly的值是true!

可是为什么服务器端获取名称叫JSESSIONID的Cookie的HttpOnly的值却始终是false!应该是true才对啊!实在是搞不懂原因!

0
czh500
lay500 回复caozhy: 谢谢您的回答!感谢!有的已经采纳了,再次感谢您!谢谢!
7 个月之前 回复
czh500
lay500 回复caozhy: 阁下,真不是刷分,之前发问题那个功能点了老是出错,一直发不了问题,然后我就把问题写到csdn博客里记录下来了,等发问题功能好使的时候再发问题,昨天就集中把积累的问题发了,发问题的时候觉得问题区篇幅有限,而且有些问题自己都记不清当时的想法了,所以觉得带个原来的文章的链接,想着可以清晰一些,我已经把文章外链删除了,昨天把积累的问题一次性发了,结果csdn以为是刷分的,全部删除了,今天恢复了,谢谢您!
7 个月之前 回复
caozhy
weixin_45841714 大家可以散了。这个人一直提问,但是从来不采纳,这就奇怪了。如果说他问的所有问题都没有满意的回答,那么这里根本不能解决他的问题,他为啥锲而不舍地不断问问题呢?如果说他能得到有用的回答,为什么从来不采纳呢。只有一个可能性,这个人就是来刷经验的。信用分那么低,都负数了,你们回答他问题其实就是被他耍了。大家注意看原文章三个字,其实就是来挂他的文章的外链。
7 个月之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
完整获取webBrowser1.Document.Cookie取不到HttpOnly的Cookie
完整获取webBrowser1的Cookie HttpOnly的Cookie
关于属性HTTPONLY的COOKIE的获取
IE8以上,InternetGetCookieEx可以传参数INTERNET_COOKIE_HTTPONLY (值为0x2000) 来获取这类COOKIE,但在IE6上就没办法了。所以,获取COOKIE最稳妥的方式还是要属自己去解析文本。 
Java 开发 | 安全篇 设置Cookie 的HttpOnly属性
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookie的HttpOnly属性问题 Cookie的HttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问Cookie、HttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
设置cookie的httponly属性
方法1: tomcat的conf下的server.xml文件中,添加useHttpOnly="true" 方法2: tomcat的conf下的context.xml文件中,添加useHttpOnly="true"     WEB-INF/web.xml 检查设置成功
Cookie上直接设置HttpOnly属性
1.需要在web.xml中配置过滤器 <!-- cookie添加HttpOnly属性 -->    <filter>        <filter-name>CookieFilter</filter-name>        <filter-class>文件目录.CookieFilter</filter-class>    &...
怎么将cookie中httponly属性设置为true
将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。如何在Java中设置cookie是HttpOnly呢看Servlet 2.5 API 不支持 cookie设置HttpOnly建议升级Tomcat7.0,它已经实现了Servlet3.0但是苦逼的是现实是,老板是不会让你升级的。那就介绍另外...
增加 cookie 安全性添加HttpOnly和secure属性
[导读]当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏
使用HttpOnly提升Cookie安全性
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
Java 项目 Tomcat8.x去除默认设置的httpOnly
1.查看tomcat conf/context.xml文件并修改:<Context useHttpOnly="false">2.修改项目web.xml<session-config> <session-timeout>20</session-timeout> <cookie-config> <http-only>fals
XSS遇到后台登录限制或者HTTPONLY时
http://www.hack80.com/thread-965-1-1.html 0x01 前言         XSS确实是个好东西,往往能在我们没有头绪的时候带来一丝曙光,宛如拿站途中的一轮明月,又如饥饿时的一块小曲奇(cookie)~         然而,我们却时常遇到形如限制登录,HTTPONLY等拦路虎,这时,很多机油可能觉得XSS就没什么用了。
C#在WebBrowser下获取完整的Cookies(包括含HTTPOnly属性的)
最近做项目的时候需要模拟post请求取数据但用了普通的Cookies无法获取完整的Cookies信息 只是获取了一部分 ,导致取回来的是重新登陆的页面。后来经过不懈的精神,终于找到了方法实现获取HTTPOnly,下面直接贴代码: using System; using System.Collections.Generic; using System.Linq; using Syst
【前端】使用Flask框架探讨HttpOnly
前言在学习Web安全中发现一些感觉比较常见又重要的知识,这里就做下笔记。这一片是讲解关于HttpOnly的知识。
关于tomcat7服务下面js无法获取JSESSIONID的cookie信息
http://tomcat.apache.org/tomcat-5.5-doc/config/context.html     Does anyone know what changed in the configuration between Tomcat 6 and Tomcat 7 that would cause the JSESSIONID cookie to not be acce...
会话cookie中缺少HttpOnly属性漏洞--分析解决
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
使用HttpOnly保护cookie的安全性
XSS 介绍 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 由于Http是无状态协议。因此Http的状态要通过Cookie或者Session来维持。当cookie被用户获取后。会存在很大的安全隐患。 httponly 如果您在cookie中设置了HttpOnly属性,那...
会话 cookie 中缺少HttpOnly 属性 的问题
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其中有一个漏洞问为“会话 cookie 中缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含 “HttpOnly”属性的会话 cookie。由于此会话 cookie 不包含“HttpOnly”属性,因此 注入站点的恶意脚本可能访问此 cookie,
java过滤器给Cookie加上HttpOnly属性
java过滤器给Cookie加上HttpOnly属性网上撸下来的代码登录不了..直接贴代码片 网上撸下来的代码登录不了… 公司安全扫描出的漏洞之一,看到的第一步就是各种百度,但是简单复制粘贴过来的代码连登录都登录不上了… 尴尬;然后发现貌似cookie的Name和value没有对应上,需要改一点点… 直接贴代码片 /** * 执行过滤,设定cookie为HttpOnly *...
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
cookie不能获取自己设置的,只能获取系统的名字为JSESSIONID的cookie的解决办法
今天在做一个登陆页面,实现在一定时间内反复登陆不用输入密码。为了和其他网站的cookie做区别,我开始使用的cookie的name是当前网站的路径basePath new  cookie(basePth,user) 这样程序不报错,而且浏览器中叶保存了我的设置的cookie,但是就是去不出来,后来发现cookie中的name不能包含分号、逗号、等号、空格、换行,否则需要编码,用BASE64En
Session Cookie的HttpOnly和secure属性
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
增多 cookie 安全性添加HttpOnly和secure属性
增加 cookie 安全性添加HttpOnly和secure属性   一、属性说明:   1 secure属性   当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。   2 HttpOnly属性
http-only的作用
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。     我们登陆某银行网站后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。 也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就
Cookie的secure和httpOnly属性的含义
Cookie访问控制cookie如此重要,在浏览器端,如果一个网站可以访问其他网站的cookie,肯定不行的,所以浏览器是不允许跨域访问cookie的,提高了Cookie的安全性。在前面的文章 session和cookie介绍 中,已经介绍了cookie的作用域,主要是说一级域名相同情况下如何共享使用cookie。如果想实现跨域访问,可以通过JSONP、CORS的方法实现。另外,HTTP设置coo...
WebSphere服务器学习记录(一)之was HttpOnly设置
- 前言 最近遇到个was环境下安全性方面的问题,需要后台返回给前端页面的cookie设置为HttpOnly属性,一开始was方面的知识比较匮乏,手动在项目代码拦截器里设置response.setHeader(“Set-Cookie”,“JSESSIONID=${value};HttpOnly”),发现几个问题。 ①发现后台Session对象的属性Id和前端发送请求携带的JESSIONID值有出入...
express中设置cookie的httpOnly属性防御xss攻击
大部分是xss攻击(跨站脚本攻攻击),都是尝试在客户的浏览器中注入脚本,然后获取cookie发送到黑客指定的地址。因为服务端的session都是通过一个记录seesionId的cookie来识别的。黑客拿到了cookie, 自然就能够伪造身份,进而获取到权限。cookie的httpOnly属性意味着,浏览器中不能通过document.cookie访问到这个cookie,从而达到防御xss攻击的目的
Cookie中的httponly的属性和作用
1.什么是HttpOnly?如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其...
sessionid 如何产生?由谁产生?保存在哪里?如何设置httpOnly属性
背景最近要扫描网站,提示网站漏洞,要给cookies加上httponly属性。项目加到cookies里的都加了后发现JSEESIONID这个居然不知道怎么弄。 当然这是sessionid。 关于sessionid和cookies的含义内容、关系等暂时不讨论。 下面给JESSONID增加httponly属性。 JESSIONID,由谁设置sessionid是由web容器,中间件设置的。tomc
在php中设置sessionid的httponly属性
方法1:将setcookie()函数的第七个参数设置为true $sess_name = session_name();//必须在session_start之前调用session_name if (session_start()) { setcookie($sess_name, session_id(), null, '/', null, null, true);
JAVAEE兼容低版本设置Cookie的HttpOnly属性
在做安全扫描的时候,会把Cookie中没有HttpOnly属性作为漏洞,需要处理,但是在低版本的Servlet API中并没有相关的设置方法,高版本可以直接使用Cookie对象的setHttpOnly(boolean httpOnly)方法进行设置,那么要解决这个问题,我们只能升级了吗?并不是,升级的代价可能会很大,所以本篇文章结合了新版本的API,可以直接为HttpServletResponse...
Spring中使用拦截器配置HttpOnly,来提升WEB应用程序的安全性
由于最近公司的项目做了安全评测,里面有一项是关于HttpOnly的.所以了总结一下...  废话不多说,先来说下它是干什么的吧. 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护
Cookie设置HttpOnly属性,防止前端脚本更改cookie的XSS攻击
Tomcat版本为6.0.39,JDK版本为1.6update45 在Web工程上增加一个Filter对Cookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response,
防止JS获取cookie
HttpOnly可以用于防止JavaScript获取cookie,比如document.cookie,这些是一般XSS攻击的一般目标。 代码如下:   String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; Path=/d...
cookie设置httpOnly和secure属性实现及问题
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
检测到会话cookie中缺少HttpOnly属性
今日公司的很久前的宁夏项目被甲方拿去找专业的公司扫描漏洞,有一条是检测到会话cookie中缺少HttpOnly属性 意思大概是通过js可以获得用户的cookie信息从而进行攻击 更改方法: tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止Http
Web项目:会话Cookie中缺少HttpOnly属性和secure属性
当会话Cookie中不含有HttpOnly属性和secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly”属性,才能防止会话 cookie...
weblogic相关问题总结
Additional Server ConfigurationConfiguring HTTP-Only Flag for HTTP Cookies Set by Oracle Identity Federationweblogic中有关http-only-cookie的说明6.7.1 Configuring HTTP-Only Flag for HTTP Cookies Set by Oracl...
会话cookie中缺少HttpOnly属性 解决
会话cookie中缺少HttpOnly属性 解决   只需要写一个过滤器即可 1 package com.neusoft.streamone.framework.security.filter; 2 3 import java.io.IOException; 4 5 import javax.servlet.Filter; 6 import javax.servlet.Fi...
Cookie没有HttpOnly标志设置 -- Cookie没有安全标志设置
漏洞扫描-- Cookie没有HttpOnly标志设置 java设置session配置: yml文件配置: server: session: cookie: http-only: true 或者properties文件配置: server.session.cookie.http-only=true    ...
web.xml中配置session属性
为什么要在web.xml配置JSP属性 在许多情况下,都可以在Java EE中直接使用HTTP会话,不需要添加显示地配置。不过可以在部署描述符中配置它们,并且出于安全地目的也应该配置。在部署描述符中使用标签配置会话。 样例 30 JSESSIONID example.org /shop true false 1800 COOK
文章热词 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型 设计制作学习
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 什么叫区块链 什么叫云计算