社区
ASP
帖子详情
ASP 会话Cookie中缺少HttpOnly属性和secure属性 这个低危漏洞如何解决
KFCILIKEIT
2020-06-30 09:25:34
加过这一段代码 Response.AddHeader "Set-Cookie", "sessionname=val; Domain=.163.com; Expires=Wed, 11-Oct-2017 03:45:43 GMT; Path=/;secure;httponly" 还是能扫出来
...全文
3503
5
打赏
收藏
ASP 会话Cookie中缺少HttpOnly属性和secure属性 这个低危漏洞如何解决
加过这一段代码 Response.AddHeader"Set-Cookie","sessionname=val;Domain=.163.com;Expires=Wed,11-Oct-201703:45:43GMT;Path=/;secure;httponly" 还是能扫出来
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
5 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
qq_20763435
2021-06-12
打赏
举报
回复
1
在页面头部添加<%@ EnableSessionState="false" %> 就可以干掉session
KFCILIKEIT
2020-07-01
打赏
举报
回复
自己定义的cookie可以设置,针对程序自己生成的如何设置,图中的cookie自动生成的。
浴火_凤凰
2020-06-30
打赏
举报
回复
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 试试这个 这个可以 说明你上面的有语法错误 起码cookie不要设置顶级域名 而且你的域名也设置的不对 ‘你不能设置为163.com’
KFCILIKEIT
2020-06-30
打赏
举报
回复
图片中的cookie怎么来的 如何设置
AlexSkrindo
2021-06-15
举报
回复
@KFCILIKEIT
解决了吗 我现在也遇到这个问题了 能请教一下吗
Session
Cookie
的
HttpOnly
和
secure
属性
一、
属性
说明: 1
secure
属性
当设置为true时,表示创建的
Cookie
会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接
中
被浏览器传递到服务器端进行
会话
验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到
Cookie
的具体内容。 2
HttpOnly
属性
如果在
Cookie
中
设置了"
HttpOnly
"
属性
,那么通过程序(JS脚本、Applet等)将无法读取到
Cookie
信息,这样能有效的防止XSS攻击。 对于以上两个
属性
, 首先,
secure
属性
是防止信息在传递的过程
中
被监听捕获后信息泄漏,
HttpOnly
属性
的目的是防止程序获取
cookie
后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session
Cookie
的"
HttpOnly
"
属性
。不过使用Filter做一定的处理可以简单的实现
HttpOnly
属性
。GlashFish3.0(支持servlet3.0)默认开启Session
Cookie
的
HttpOnly
属性
。 也就是说两个
属性
,并不能
解决
cookie
在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到
cookie
的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
Web项目:
会话
Cookie
中
缺少
HttpOnly
属性
和
secure
属性
当
会话
Cookie
中
不含有
HttpOnly
属性
和
secure
属性
时,注入站点的恶意脚本可能访问此
Cookie
,并窃取它的值。任何存储在
会话
令牌
中
的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,
cookie
的唯一必需
属性
是“name”字段。常见的可选
属性
如下:“comment”、“domain”、“path”,等等。必须相应地设置“
HttpOnly
”
属性
,才能防止
会话
cookie
...
会话
cookie
中
缺少
HttpOnly
属性
漏洞
--分析
解决
详细描述
会话
cookie
中
缺少
HttpOnly
属性
会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的
cookie
信息,造成用户
cookie
信息泄露,增加攻击者的跨站脚本攻击威胁。
HttpOnly
是微软对
cookie
做的扩展,该值指定
cookie
是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
检测到
会话
cookie
中
缺少
HttpOnly
属性
解决
方案01:在
会话
cookie
中
添加
HttpOnly
属性
具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-
Cookie
", "name=value;
HttpOnly
");
解决
方案02(建议使用):在
会话
cookie
中
添加
HttpOnly
属...
安全检测:
会话
cookie
中
缺少
HttpOnly
属性
安全测试时,有时会检查出检测到
会话
cookie
中
缺少
HttpOnly
属性
; 刚开始听到,就觉得怎么
HttpOnly
怎么这么耳熟,想了想,
cookie
中
缺少
HttpOnly
,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到
HttpOnly
,我靠,突然嫌弃自己。 什么是
HttpOnly
?...
ASP
28,391
社区成员
357,059
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章