B:服务端可以自定义建立Cookie对象及属性传递到客户端;
服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);
方法:
为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在tomcat6的conf/context.xml配置文件中配置:
为自定义Cookie及属性添加HttpOnly属性,在Set-Cookie头部信息设置时可以添加“HttpOnly”
验证:
1,抓包验证任意http响应的内容,确实任意客户端请求的回应包含“Set-Cookie: JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3; Path=/monitor; HttpOnly”:GET/monitor/HTTP/1.1
Accept:image/gif,image/jpeg,image/pjpeg,image/pjpeg,application/x-shockwave-flash,*/*
Accept-Language:zh-cn
User-Agent:Mozilla/4.0(compatible;MSIE8.0;WindowsNT5.1;Trident/4.0;.NETCLR1.1.4322)
Accept-Encoding:gzip,deflate
Host:192.168.245.1
Connection:Keep-Alive
HTTP/1.1200OK
Server:Apache-Coyote/1.1
Set-Cookie:JSESSIONID=717C91AF20E245B100EEFBF5EDDB29C3;Path=/monitor;HttpOnly
Set-Cookie:;HttpOnly
Content-Type:text/html;charset=UTF-8
Content-Length:2518
Date:Wed,20Jul08:14:42GMT
2,在浏览器端调试js脚本,确实使用document.cookie读取在服务端设置的Cookie对象时,读取内容为空:document.cookie""
