zoukankan      html  css  js  c++  java
  • JAVA设置HttpOnly Cookies

    HttpOnly Cookies是一个cookie安全行的解决方案。

    在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。

    但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如果需要设置HttpOnly属性需要自己来处理。

    import javax.servlet.http.Cookie;
    import javax.servlet.http.HttpServletResponse;
    
    /**
     * Cookie工具类
     */
    public class CookieUtil {
    
        /**
         * 设置HttpOnly Cookie
         * @param response HTTP响应
         * @param cookie Cookie对象
         * @param isHTTPOnly 是否为HttpOnly
         */
        public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) {
            String name = cookie.getName();//Cookie名称
            String value = cookie.getValue();//Cookie值
            int maxAge = cookie.getMaxAge();//最大生存时间(毫秒,0代表删除,-1代表与浏览器会话一致)
            String path = cookie.getPath();//路径
            String domain = cookie.getDomain();//
            boolean isSecure = cookie.getSecure();//是否为安全协议信息 
    
            StringBuilder buffer = new StringBuilder();
    
            buffer.append(name).append("=").append(value).append(";");
    
            if (maxAge == 0) {
                buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;");
            } else if (maxAge > 0) {
                buffer.append("Max-Age=").append(maxAge).append(";");
            }
    
            if (domain != null) {
                buffer.append("domain=").append(domain).append(";");
            }
    
            if (path != null) {
                buffer.append("path=").append(path).append(";");
            }
    
            if (isSecure) {
                buffer.append("secure;");
            }
    
            if (isHttpOnly) {
                buffer.append("HTTPOnly;");
            }
    
            response.addHeader("Set-Cookie", buffer.toString());
        }
    
    }

    值得一提的是,Java EE 6.0 中 Cookie已经可以设置HttpOnly了,所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7),可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly: 

    cookie.setHttpOnly(true);
  • 相关阅读:
    iap 详细
    血的教训,下次开工程 一点要写好判断空字符串方法
    iOS中的ScrollView
    自定义弹框加载方式
    CAGradientLayer简介(处理视图渐变色)
    iOS 制作view渐变的效果CAGradientLayer
    将vs2012的项目转化成VS2010
    关于Excel导入的HDR=YES; IMEX=1详解
    C#读取Excel表中的数据时,为何有些行的字段内容读取不到
    OLEDB读取EXCEL表格时,某些字段为空,怎么办?
  • 原文地址:https://www.cnblogs.com/relucent/p/4171478.html
Copyright © 2011-2022 走看看