专栏首页马洪彪Fortify Audit Workbench Cookie Security: Cookie not Sent Over SSL

Fortify Audit Workbench Cookie Security: Cookie not Sent Over SSL

Abstract

所创建的 cookie 的 secure 标记没有设置为 true。

Explanation

现今的 Web 浏览器支持每个 cookie 的 secure 标记。 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie。 通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性。 如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要。 例 1: 在下面的示例中,在未设置 secure 标记的情况下将 cookie 添加到响应中。

Cookie cookie = new Cookie("emailCookie", email);
response.addCookie(cookie);

如果您的应用程序同时使用 HTTPS 和 HTTP,但没有设置 secure 标记,那么在 HTTPS 请求过程中设置的cookie 也会在随后的 HTTP 请求过程中被发送。 通过未加密的无线连接截取网络信息流对攻击者而言十分简单, 因此通过 HTTP 发送 cookie(特别是具有会话 ID 的 cookie)可能会危及应用程序安全。

Recommendation

对所有新 cookie 设置 Secure 标记,指示浏览器不要以明文形式发送这些 cookie。 可通过调用setSecure(true) 完成此配置。 例 2:

Cookie cookie = new Cookie("emailCookie", email);
cookie.setSecure(true);
response.addCookie(cookie)

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Java设计模式(七)Decorate装饰器模式

    系统中最初使用Crystal Report(水晶报表)工具生成报表,并将报表发送给客户端查看,此时定义一CrystalReport工具类即可完成水晶报表的生成工...

    用户1637609
  • Fortify Audit Workbench 笔记 Unreleased Resource: Database( 未释放资源:数据库)

    程序可能无法成功释放某一项系统资源。 资源泄露至少有两种常见的原因: - 错误状况及其他异常情况。 - 未明确程序的哪一部份负责释放资源。 大部分 Unr...

    用户1637609
  • Java设计模式(四)Builder建造者模式

    一、场景描述 建造者模式同工厂模式、抽象工厂模式一样,用于创建继承类对象。 工厂模式:http://www.cnblogs.com/mahongbiao/p/8...

    用户1637609
  • 实用主义:前端cookie介绍及操作封装

    MrTreasure
  • 前端须知的 Cookie 知识小结

    cookie 是服务器端保存在浏览器的一小段文本信息,浏览器每次向服务器端发出请求,都会附带上这段信息(不是所有都带上,具体的下文会介绍)

    GopalFeng
  • 登录之记住用户与自动登录

           如题,大家在使用各种网站时,为了更好的用户体验,网站往往会提供这两种功能之一,以便下次登录方便。 ? ?        今天要讲述的是用java操...

    高爽
  • 一文看懂Cookie奥秘

    Cookie是什么?cookies是你访问网站时创建的数据片段文件,通过保存浏览信息,它们使你的在线体验更加轻松。 使用cookies,可以使你保持在线登录状态...

    小码甲
  • JQuery之cookie增删改查操作

    在Java Web开发中cookie一般有两种新建方法,一种是在Java中创建维护,另一种是在前端中创建和维护。 二者之间最大的区别就是:Java中的cooki...

    林老师带你学编程
  • Python的Cookie详解

    CookieJar——>派生——>FileCookieJar——>派生——>MozillaCookieJar和LwpCookieJar

    py3study
  • Cookie——客户端存储

    cookie API 是通过document.cookie属性来实现的。cookie是存储在访问者的计算机中的变量,与页面相关联。

    Html5知典

扫码关注云+社区

领取腾讯云代金券