JAVA设置HttpOnly Cookies
2015-05-14 09:22
225 查看
HttpOnly Cookies是一个cookie安全行的解决方案。
在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。
但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如果需要设置HttpOnly属性需要自己来处理。
值得一提的是,Java EE 6.0 中 Cookie已经可以设置HttpOnly了,所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7),可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly:
在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。
但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如果需要设置HttpOnly属性需要自己来处理。
import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletResponse; /** * Cookie工具类 */ public class CookieUtil { /** * 设置HttpOnly Cookie * @param response HTTP响应 * @param cookie Cookie对象 * @param isHTTPOnly 是否为HttpOnly */ public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) { String name = cookie.getName();//Cookie名称 String value = cookie.getValue();//Cookie值 int maxAge = cookie.getMaxAge();//最大生存时间(毫秒,0代表删除,-1代表与浏览器会话一致) String path = cookie.getPath();//路径 String domain = cookie.getDomain();//域 boolean isSecure = cookie.getSecure();//是否为安全协议信息 StringBuilder buffer = new StringBuilder(); buffer.append(name).append("=").append(value).append(";"); if (maxAge == 0) { buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;"); } else if (maxAge > 0) { buffer.append("Max-Age=").append(maxAge).append(";"); } if (domain != null) { buffer.append("domain=").append(domain).append(";"); } if (path != null) { buffer.append("path=").append(path).append(";"); } if (isSecure) { buffer.append("secure;"); } if (isHttpOnly) { buffer.append("HTTPOnly;"); } response.addHeader("Set-Cookie", buffer.toString()); } }
值得一提的是,Java EE 6.0 中 Cookie已经可以设置HttpOnly了,所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7),可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly:
cookie.setHttpOnly(true);
相关文章推荐
- JAVA设置HttpOnly Cookies
- JAVA设置HttpOnly Cookies
- JAVA设置HttpOnly Cookies
- JAVA设置HttpOnly Cookies
- Java Servlet 2.5 设置 cookie httponly
- Java 项目 Tomcat8.x去除默认设置的httpOnly
- Java 项目 Tomcat8.x去除默认设置的httpOnly
- tomcat设置httpOnly
- 关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
- Tomcat and HttpOnly Session Cookies
- java 模拟HTTP doPost请求 设置参数
- Java HttpClient中的三种超时设置区别
- java文件配置Spring设置StringHttpMessageConverter
- 常用java web容器http长连接超时设置
- cookie 设置 httpOnly属性
- cookie设置httponly属性防护XSS攻击
- Java HTTP请求时设置超时
- crawler_java应用集锦9:httpclient4.2.2的几个常用方法,登录之后访问页面问题,下载文件_设置代理
- 自动脚本(pac)和手动设置Proxy的读取方式的java实现(http,tcp)
- Cookie设置HttpOnly,Secure,Expire属性