漏洞解决方案-HttpOnly设置

漏洞解决方案-HttpOnly设置

漏洞概述

在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，HTTP-only cookie是一种用以缓解跨站脚本攻击的技术，如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS盗取用户cookie。

攻击步骤

1. 测试并发现一个存在XSS漏洞网站。
2. 通过XSS漏洞，插入恶意链接：

3. 当其他用户访问相关页面时，恶意插入的代码被执行，用户的cookie信息被发送到恶意链接地址。

设置方法

1. Servlet2.5及以下版本，不支持httpOnly，可通过response.addHeader或response.setHeader设置httponly。
   （1）response.addHeader

//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

（2）response.setHeader
response.setHeader("Set-Cookie","cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

2. Servlet3.0提供SessionCookieConfig接口，用于操作会话Cookie，其中有setHttpOnly(boolean httpOnly) 设置是否支持HttpOnly属性。

cookie.setHttpOnly(true);

3. 也可以在web.xml配置如下：

<session-config>
	<cookie-config>
		<http-only>truehttp-only>
	cookie-config>
<session-config>

4. 对于tomcat6支持对JSESSIONID的cookie设置HttpOnly,
   具体的设置是在context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启或禁止HttpOnly：

<Context useHttpOnly="true"/>

5. 对于weblogic,可以在weblogic.xml里添加

<session-descriptor>
	<cookie-http-only>falsecookie-http-only>
session-descriptor>