在java web应用程序中添加httponly和安全标志来设置cookie

2024-03-13

我想添加httponly and secureCookie 的标志。为了实现它，我正在使用Filters其配置在web.xml.

添加flag的代码如下：

package com.crisil.dbconn;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.struts2.ServletActionContext;
import org.owasp.esapi.ESAPI;
import org.owasp.esapi.filters.SecurityWrapperResponse;

public class ClickjackFilter implements Filter 
{

    private String mode = "DENY";

    /**
     * Add X-FRAME-OPTIONS response header to tell IE8 (and any other browsers who
     * decide to implement) not to display this content in a frame. For details, please
     * refer to http://blogs.msdn.com/sdl/archive/2009/02/05/clickjacking-defense-in-ie8.aspx.
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse)response;
        //HttpServletRequest req = (HttpServletRequest)request.getSession();


        res.addHeader("X-FRAME-OPTIONS", mode );
        res.addHeader("X-Content-Type-OPTIONS", "nosniff" );
        res.addHeader("X-XSS-Protection", "1; mode=block" );
        res.addHeader("Vary", "*" );
        res.addHeader("Expires", "-1" );
        res.addHeader("Pragma", "no-cache" );
        res.addHeader("Cache-control", "no-cache, no-store,max-age=0, must-revalidate" );
        String contextPath = ((HttpServletRequest) request).getContextPath()+"kevalcccc";
       ((HttpServletResponse)ServletActionContext.getResponse()).setHeader("SET-COOKIE",  "JSESSIONID=" + ((HttpServletRequest)request).getSession().getId() + ";Path="+contextPath+";Secure;HttpOnly");
     // touch the session
       // ((HttpServletRequest) request).getSessison();
       // System.out.println("zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz");

        // overwriting the cookie with Secure attribute set
       // ((HttpServletResponse)response).setHeader("Set-Cookie", "JSESSIONID=" + ((HttpServletRequest)request).getSession().getId() + ";Path=/");

        ////////////

       /* Cookie[] cookies = ((HttpServletRequest) request).getCookies();
        if (cookies != null)
            for (int i = 0; i < cookies.length; i++) {
                cookies[i].setValue("");
                cookies[i].setPath("/");
                cookies[i].setMaxAge(0);
                cookies[i].setSecure(true);
                res.addCookie(cookies[i]);
            }
        */
        //////////////
        String sessionid = ((HttpServletRequest) request).getSession().getId();
        ((HttpServletResponse) response).setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

        chain.doFilter(request, response);
    }

    public void destroy() {
    }

    public void init(FilterConfig filterConfig) {
        String configMode = filterConfig.getInitParameter("mode");
        if ( configMode != null ) {
            mode = configMode;
        }
    }

}

上面的代码是添加httponly and secureJSESSIONID cookie 的标志。但是，在响应标头中，我收到两个 cookie。第二个没有httponly and secure标志设置。请参考下面的输出：

JSESSIONID=1dbLWQ6WYBHJ93Tv7TfQ2fdLgjRp2pQBsVxQVZ2WBQkYwB60wg43!1248935162!1451244054765; 仅 Http；安全

JSESSIONID=1dbLWQ6WYBHJ93Tv7TfQ2fdLgjRp2pQBsVxQVZ2WBQkYwB60wg43！1248935162；路径=/”

为什么是httponly and secure没有为第二个 cookie 添加标志？

设置JSESSIONID是运行 Web 应用程序的任何 Servlet 容器的责任。去除setHeader从您的过滤器中，并通过将以下内容添加到您的应用程序来正确配置您的Web应用程序web.xml:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

security

filter

Struts2

webxml

在java web应用程序中添加httponly和安全标志来设置cookie 的相关文章

使用 Java 编辑 jpeg EXIF 数据

我想编辑 jpg 文件的属性例如评论标题拍摄日期相机制造商等我找到了读取这些数据的库但我需要一个free带有示例的库edit them 我知道 apache 的成像 sanselan 但我无法用它编辑数据如果您以前自己使用过
JaxB2Marshaller 未将 XML 绑定到 Kotlin 数据类

我正在编写一个批处理作业来解析 XML 提取字段并将它们保存在数据库中解析 XML 时它会选取 2 个根元素但将所有字段保留为空因此在我的数据库中我有 2 条记录将为空字段似乎无法弄清楚为什么它无法读取元素 TIA Bean f
如何通过双击图标来执行JAVA程序？

我写了一个java程序现在我想在没有 IDE Eclipse 等的情况下打开我的控制台 java 应用程序只需双击桌面上的可执行版本即可我已将 java 项目导出为 Runnable JAR 文件但无法打开当我尝试使用cmd打开应
在 Spring 中使用事务时创建提交后

由于某些原因我使用 Spring PlatformTransactionManager 手动执行事务提交和回滚我需要做的是设置一个钩子以便在提交事务后发生提交后操作通过查看 void commit TransactionStatus
高负载应用程序的数据库可扩展性？

我见过一些应用程序拥有集群 Web 服务器例如 10 到 20 个服务器以具有可扩展性可以在其中分发在网络服务器之间加载但我总是看到所有网络服务器都使用单个数据库现在考虑任何电子商务或铁路 Web 应用程序其中有数百万用户在任
Java Swing 自定义形状（2D 图形）

我需要绘制自定义形状现在当用户单击面板上的几个点时我使用多边形创建一个形状 public void mouseClicked MouseEvent e polygon addPoint e getX e getY repaint 但我
CreationException：无法在 Play 2.5.18 中创建注入器错误，以使用 com.google.inject.AbstractModule 替换 GlobalSettings Java 代码

我正在将 Play 应用程序从 2 5 12 升级到 2 5 18 当我启动该应用程序时使用sbt 我收到此错误 CreationException 无法创建注入器看到以下错误 1 Error injecting constructor
Bean 属性不可读或具有无效的 getter 方法

因此我的任务是为注册表路由编写一个简单的 Web 应用程序使用 Spring MVC 所以我有路线类我想在其中保留起点终点和中间点列表但我不明白如何将值从 jsp 放入列表例如使用 jstl 所以我决定解析一个字符串 pub
如何将多个值存储到一个键（java）

我搜索一个可以存储多个键值对的数据结构数据基本上是这样的 1 value 1 2 value 2 于是我想到了使用HashMap 遗憾的是这对我不起作用因为一个键可能会出现多个值在上面的例子中 1 value 2 可能是另一个条目
Java SSO 与 Wildfly 8、Java 1.8.0_45 和 Active Directory

我对这个主题进行了很多搜索但找不到解决方案要求的简短描述 Wildfly 8 2 下 Web 应用程序上的 SSO 在 Active Directory 中验证 Windows 用户的身份当 SSO 失败时回退到登录表单在 Wild
在同一个容器但不同的耳朵中使用本地EJB

我正在尝试在同一个 Glassfish 但不同的耳朵中使用本地 EJB 但是Glassfish找不到本地EJB或者无法消费我读到了这个根据 JavaEE 教程 Local bean 的客户端必须在与其访问的企业 bean 相同的 JV
c3p0 Java 数据库池、故障转移配置

当数据库关闭时 IP 和端口会自动切换到另一个数据库服务器我应该如何配置 Web 应用程序的 c3p0 连接池以遵循此数据库故障转移机制目前我使用的是 c3p0 但是在上次数据库故障转移中池连接无法重新建立请求失败后重新建立有助
在 Tomcat 中触发内部 ServletRequest

我正在使用 Quartz 来安排 Web 应用程序的后台任务其中一些任务只是针对同一 Web 应用程序发出请求我想避免依赖于任何类型的网络设置例如如果从数据中心内发出带有我自己域名的请求则可能无法正确路由是否有一个 Java A
Spring Hibernate中的@Transient方法调用

我有一个 Pojo 类在其中创建一个未与数据库表映射的字段所以我必须声明字段Declaration和setter和getter方法 Transient 否则会显示错误 Transient private String docHistor
用 Java 编写“漂亮”代码的标准？ [关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
我可以使用本机系统窗口作为父窗口使 JDialog 成为模式吗？

我有一个 JDialog 窗口我需要使其成为模态窗口但父窗口不是 Java 窗口而是本机 Windows 操作系统窗口是否可以不你不能您甚至无法不仅引用本机窗口甚至无法引用运行在其他 JVM 中的 java 应用程序创建的窗
java中的Anagram算法

我想做字谜算法但是这段代码不起作用我的错在哪里例如 des 和 sed 是字谜但输出不是字谜同时我必须使用字符串方法不是数组 public static boolean isAnagram String s1 String s2
Jersey：返回字符串列表

我尝试以 JSON 和 XML 形式返回 Jersey 中的字符串列表我以为这会是微不足道的我的第一次尝试是写这样的东西 GET Produces MediaType APPLICATION JSON MediaType APPLICA
java银行程序帐户ID不上去？

每次创建银行帐户时帐户 ID 都应增加 1 但每次我尝试提取 Id 时我只会得到帐户 ID 为 0 任何建议因为我完全按照我学习的书中的方式进行操作而且它仍然没有更新帐户构造函数 public class BankAccount p
如何从项目文件夹中的 jlabel 上设置图像？

我正在尝试制作一个 Java 桌面应用程序我想设置一个图像JLabel 我正在使用 NetBeans 从我的项目文件夹中我的目录结构是 F gt MARKET src lib src defaultpackage demo java i

随机推荐

使用 Facebook Marketing API 获取 UTM 标签

我在 Facebook 上的广告很少我应该如何通过 Facebook Marketing API 获取此广告的 UTM 标签因此即使没有人打开带有 UTM 标签的链接我每天都会使用 Facebook Marketing API 来获
lucene standardanalyzer 是否删除停用词并具有词干提取功能？

我已经使用indexWriter测试了standardanalyzer 发现它会自动删除停用词但是我没有添加停用词列表因为以下代码是我使用的 StandardAnalyzer analyzer new StandardAnalyzer
ä、ü、ö、ß 的“无效多字节字符 (US-ASCII)”错误（Ascii）！

我的应用程序需要处理一些国际字符即和它们仍然是 ASCII 当我测试 ruby 处理这些字符时的行为时出现以下错误 test rb 1 invalid multibyte char US ASCII test rb 1 invali
WiX 替换对话框

如何替换一个标准对话框例如 MaintenanceTypeDlg 我引用了 UIExtension dll 当我将 MaintenanceTypeDlg wxs 添加到我的项目中时出现有关对话框重复的错误我可以在不删除引用并添加所有需
我需要帮助了解 Python 的 return 语句及其在该递归语句中的作用

不这不是家庭作业而是我们的测试学习指南上的内容我需要了解 return 语句所扮演的角色以及递归所扮演的角色我不明白为什么该函数在 x 1 后不会中断 def thisFunc x print x if x gt 1 result
如何在d3.js中拖放svg中的一组矩形？

我的工作基于this http bl ocks org biovisualize 1197731拖放示例我想拉个团我将两个矩形放在单个组中现在想要拖放整个组在我的代码中拖放适用于单个矩形但不适用于组这是我的代码 div div
Rails 应用程序不为生产环境中的资产提供服务

我的应用程序在开发环境中运行时运行良好生产中 rails server e production 浏览器无法访问 css 和 js 文件并且控制台上有如下消息 I 2013 07 27T21 00 59 105459 11449 INF
快速计算从单词到字符串末尾的字符串范围

我有一个 NSMutatableString var string String Due in nOverdue Please pay now attributedText NSMutableAttributedString string
将 Haskell IO 列表转换为列表类型[重复]

这个问题在这里已经有答案了可能的重复 haskell 问题 io 字符串 gt int https stackoverflow com questions 5090779 haskell problem io string int 如何将
强制 BarChart Y 轴标签为整数？

我使用 MPAndroidChart 创建了一个 BarChart 并且动态输入数据这意味着我还需要动态确定 Y 轴我的所有数据都表示为整数但是 Y 轴有时将图例显示为带有 1 个小数点的十进制值我尝试使用 ValueFormatt
如何在 xml 序列化期间包含 null 属性

目前下面的代码在序列化期间省略了 null 属性我希望输出 xml 中的 null 值属性作为空元素我在网上搜索但没有找到任何有用的东西任何帮助将不胜感激 var serializer new XmlSerializer appl
FILE * ..=stdout ：错误初始值设定项元素不是常量

我的C代码如下 Linux si usr hrl vi test c include
在 JSON 的情况下，当模式推断留给 Spark 时，为什么 Spark 会输出 nullable = true？

Spark为何显示可空 true 当未指定模式并将其推理留给 Spark 时 shows nullable true for fields which are present in all JSON records spark read j
在数据网格的组合框列中显示图像

我想在数据网格中有一个组合框来显示实际图像列表而不是文本我可以通过手动构建组合框来完成这项工作但似乎无法通过绑定来完成这项工作这大约是使用数据网格的唯一方法我也尝试过一个template column 但得到了相同的结果显示图像
二元炸弹第五阶段问题（我的第五阶段似乎和其他人不一样）

所以我正在做一个二元炸弹作业但陷入了困境尝试查看其他问题和指南但我的问题和指南似乎与我在网上找到的其他问题和指南中描述的完全不同该阶段仅需要 2 个无符号整数作为输入这里它在以 11 2 作为输入运行后在 gdb 中被反汇编 Du
使用 Javascript 操作突出显示的文本

你好我正在尝试用 Javascript 开发一些代码将突出显示的文本添加到类中我想通过此实现的是使用自定义颜色突出显示文本的能力我希望它看起来像下面这样 window getSelected span class window ge
函数 insertMany() 无序：获取错误和结果的正确方法？

看来MongoDBinsertMany 将有序选项设置为 false 的函数可以比将有序选项设置为 true 更有效地插入文档并且即使多个文档插入失败也可以继续插入文档但我发现没有干净的方法来获取每个失败文档的错误和总体命令结果顺便说
如何从android中的edittext中获取选定的文本？

我有一个编辑文本其中选择了一些文本我只想通过单击按钮从 edittext 中获取选定的文本请向我推荐可用的链接或示例代码 EditText et EditText findViewById R id edit int startSel
如何在 JSF 中的表中动态添加行？

在我的应用程序中我需要单击按钮添加一行并且该按钮将位于所有行中需要帮助来做到这一点吗项目类别 public class Item public Item private String value public Item String
在java web应用程序中添加httponly和安全标志来设置cookie

我想添加httponly and secureCookie 的标志为了实现它我正在使用Filters其配置在web xml 添加flag的代码如下 package com crisil dbconn import java io IOE

在java web应用程序中添加httponly和安全标志来设置cookie

在java web应用程序中添加httponly和安全标志来设置cookie 的相关文章

随机推荐

热门标签