b:服務端可以自定義建立cookie物件及屬性傳遞到客戶端;
服務端建立的cookie如果沒有設定httponly屬性,則在客戶端可以用js讀取cookie中的內容(客戶端指令碼可以讀取session cookie內容進行諸如csrf/xss惡意http攻擊);
方法:
為httpsession安全性考慮,防止客戶端指令碼讀取session cookie內容進行諸如csrf/xss惡意http攻擊,可在tomcat6的conf/context.xml配置檔案中配置:
為自定義cookie及屬性新增httponly屬性,在set-cookie頭部資訊設定時可以新增「httponly」
驗證:
1,抓包驗證任意http響應的內容,確實任意客戶端請求的回應包含「set-cookie: jsessionid=717c91af20e245b100eefbf5eddb29c3; path=/monitor; httponly」:
2,在瀏覽器端除錯js指令碼,確實使用document.cookie讀取在服務端設定的cookie物件時,讀取內容為空:
document.cookie ""
關於Tomcat設定log為logback的配置
1 替換bin目錄下的tomcat juli.jar 2 為執行時新增引數 djuli logback.configurationfile 3 配置conf logback.xml檔案及conf logback acces.xml檔案 4 修改conf server.xml中的value節點 通常在...
把Tomcat設定為Windows服務
1.選擇 開始 2.在彈出的級聯選單中選擇 執行 3.在執行視窗中鍵入 notepad 4.回車開啟記事本,輸入 d cd program files apache software foundation apache tomcat 6.0.35 bin service install tomcat...
為tomcat頁面設定訪問許可權
為tomcat頁面設定訪問許可權 剛從csdn搬到這裡,先發表一篇!在web應用中,對頁面的訪問控制通常通過程式來控制,流程為 登入 設定session 訪問受限頁面時檢查session是否存在,如果不存在,禁止訪問 對於較小型的web應用,可以通過tomcat內建的訪問控制機制來實現許可權控制。採...