【转】HTTP-only Cookie 脚本获取JSESSIONID的方法

彻底避免xss攻击的方法。

别人可以通过注入js脚本获取你的session cookie，如果幸运的话还可以获取通过js遍历你的dom树获取你的用户的用户名和密码。

如果只是通过正则表达式验证输入的话，各大富文本编辑器总还是可能出现各种漏洞，这样下去是很难达到万无一失的程度的。不过还好有个http头

可以禁用js访问cookie，这个就叫做http only cookie.有此http头，xss漏洞就可以彻底歇菜 了。。

以下转自:http://blog.sina.com.cn/s/blog_539f058a01013rea.html

一般扫描报告等级定为低危，如appscan。

一般的Cookie都是从document对象中获得的，现在浏览器在设置 Cookie的时候一般都接受一个叫做HttpOnly的参数，跟domain等其他参数一样，一旦这个HttpOnly被设置，你在浏览器的 document对象中就看不到Cookie了，而浏览器在浏览的时候不受任何影响，因为Cookie会被放在浏览器头中发送出去(包括ajax的时候)，应用程序也一般不会在js里操作这些敏感Cookie的，对于一些敏感的Cookie我们采用HttpOnly，对于一些需要在应用程序中用js操作的cookie我们就不予设置，这样就保障了Cookie信息的安全也保证了应用。

Secure和HttpOnly：

Secure属性：

当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。

HttpOnly属性：

如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

在Java的Web容器中设置该属性：

在Java的web应用里，我们要保护的有JSESSIONID这个cookie，因为类似于tomact的容器就是用这个cookie来辨别你的服务器端会话的。所以这个cookie是不应该由客户端脚本来操作的，它很适合用HttpOnly来标识它。

在tomcat6之前只能按照如下方法设置HttpOnly：

String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

对于tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启或禁止HttpOnly：

<Context path="" docBase="D:/WORKDIR/oschina/webapp" reloadable="false"useHttpOnly="true"/>

也可以在 web.xml 配置如下： <session-config>  <cookie-config>   <http-only>true</http-only>  </cookie-config> </session-config>

 对于weblogic,可以在weblogic.xml里添加 <session-descriptor> <cookie-http-only>false</cookie-http-only> </session-descriptor> 但由于weblogic的版本的不同，weblogic.xml的对该参数的支持也不太一样 已知的如下： 这是10.3.3的有关weblgic_xml的定义 http://download.oracle.com/docs/cd/E14571_01/web.1111/e13712/weblogic_xml.htm#i1071981 这是10.3.1和10.3.2的有关weblgic_xml的定义 http://download.oracle.com/docs/cd/E15523_01/web.1111/e13712/weblogic_xml.htm#i1071981

可以看出weblogic在10.3.3中支持在weblogic.xml里配置 <session-descriptor> <cookie-http-only>false</cookie-http-only> </session-descriptor>

经过进一步查看10.3.4和10.3.5中都支持该参数的配置 而9.2版本也支持该参数的配置 如下路径http://download.oracle.com/docs/cd/E13222_01/wls/docs92/webapp/weblogic_xml.html#wp1071982 所以好像这个参数出现的版本不太固定

相关路径： http://www.iteye.com/topic/1114228 http://download.oracle.com/docs/cd/E13222_01/wls/docs92/webapp/weblogic_xml.html

http://serverfault.com/questions/151107/http-only-cookies-in-weblogic-what-versions-support-them-how-and-why-are-they-su

http://cn.forums.oracle.com/forums/thread.jspa?threadID=1518073

http://cn.forums.oracle.com/forums/thread.jspa?threadID=953056

对于 .NET 2.0 应用可以在 web.config 的 system.web/httpCookies 元素使用如下配置来启用 HttpOnly

1	<httpCookies httpOnlyCookies="true" …>

 

而程序的处理方式如下： C#:

1	HttpCookie myCookie = new HttpCookie("myCookie");

 

2	myCookie.HttpOnly = true;

 

3	Response.AppendCookie(myCookie);

 

VB.NET:

1	Dim myCookie As HttpCookie = new HttpCookie("myCookie")

 

2	myCookie.HttpOnly = True

 

3	Response.AppendCookie(myCookie)

 

.NET 1.1 只能手工处理：

1	Response.Cookies[cookie].Path += ";HttpOnly";

 

PHP 从 5.2.0 版本开始就支持 HttpOnly

1	session.cookie_httponly = True