为web服务器设置HttpOnly防范XSS攻击

HttpOnly标识是一个可选的、避免利用XSS(Cross-Site Scripting)来获取session cookie的标识。XSS攻击最常见一个的目标是通过获取的session cookie来劫持受害者的session;使用HttpOnly标识是一种很有用的保护机制。

可以人工设置这些参数,如果在Servlet3或者更新的环境,tomcat7中开发,只需要在web.xml简单的配置就能实现这种效果。

你要在web.xml中添加如下片段:  

<session-config>    

    <cookie-config>      

  <http-only>true</http-only>    

  </cookie-config>  

</session-config>  

而且如果使用了secure标识,配置应该如下  

<session-config>    

  <cookie-config>      

  <http-only>true</http-only>      

  <secure>true</secure>    

  </cookie-config>  

</session-config>

为web服务器设置HttpOnly防范XSS攻击,布布扣,bubuko.com

为web服务器设置HttpOnly防范XSS攻击

上一篇:RDIFramework.NET ━ .NET快速信息化系统开发框架 V2.7 版本发布


下一篇:四、 添加模型Model(ASP.NET MVC5 系列)