tomcat扫描漏洞:Cookie without HttpOnly flag set

原创 于 2019-06-24 18:40:32 发布 · 6.7k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #web #springmvc #tomcat #springboot
博主收到项目bug的扫描漏洞,搜索资料找到解决方法。一是设置Tomcat的web.xml中session - config标签文件,设置会话超时和cookie安全属性;二是在Login.jsp主页面加入设置响应头的代码,以解决相关漏洞。

今天收到一份项目bug的扫描漏洞:

然后搜索资料解决方法:

1 设置设置Tomcat 的 web.xml中的session-config标签文件:

<session-config>
        <session-timeout>30<session-timeout>
        <cookie-config>
           <secure>true<secure>
           <http-only>true<http-only>
        </cookie-config>
<session-config> 

2 在Login .jsp主页面加入:
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值