如何在Spring Boot2.1.0中禁用登录时Set-Cookie头上的HttpOnly标志
在Spring Boot2.1.0中禁用登录时Set-Cookie头上的HttpOnly标志,可以通过配置Spring Security来实现。HttpOnly标志是用于保护客户端Cookie免受跨站点脚本攻击的安全特性,禁用该标志可能会增加安全风险,请在实际场景中慎重考虑。
要禁用登录时Set-Cookie头上的HttpOnly标志,可以按照以下步骤进行操作:
- 创建一个自定义的
HttpServletResponseWrapper类,用于重写addHeader和setHeader方法。
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
public class CustomHttpServletResponseWrapper extends HttpServletResponseWrapper {
public CustomHttpServletResponseWrapper(HttpServletResponse response) {
super(response);
}
@Override
public void addHeader(String name, String value) {
if (!"Set-Cookie".equalsIgnoreCase(name)) {
super.addHeader(name, value);
}
}
@Override
public void setHeader(String name, String value) {
if (!"Set-Cookie".equalsIgnoreCase(name)) {
super.setHeader(name, value);
}
}
}- 创建一个
Filter类,用于过滤所有请求并应用自定义的HttpServletResponseWrapper。
import org.springframework.web.filter.GenericFilterBean;
import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class CustomFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
CustomHttpServletResponseWrapper wrapper = new CustomHttpServletResponseWrapper((HttpServletResponse) response);
chain.doFilter(request, wrapper);
}
}- 在Spring Boot应用程序的配置类中注册自定义的
Filter。
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration
public class CustomFilterConfig {
@Bean
public FilterRegistrationBean<CustomFilter> customFilter() {
FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>();
registrationBean.setFilter(new CustomFilter());
registrationBean.setOrder(1); // 设置Filter的优先级
registrationBean.addUrlPatterns("/*"); // 设置Filter的URL匹配规则
return registrationBean;
}
}通过以上步骤,将自定义的Filter注册到Spring Boot应用程序中后,它将拦截所有请求并应用CustomHttpServletResponseWrapper来禁用登录时Set-Cookie头上的HttpOnly标志。
请注意,这仅适用于Spring Boot2.1.0版本,其他版本可能有所不同。此外,禁用HttpOnly标志可能会导致安全风险,建议在实际应用中进行详细的安全评估。
相关·内容
我在禁用set-cookie标头上的httpOnly标志时遇到问题。当JSESSIONID在响应中被发回时,这主要是登录的问题。请注意,这是在AWS EBS上部署的tomcat服务器上。下面的任何配置在本地都可以正常工作,但在部署时不能。Origin: TE: Trailers 响应报头示例 HTTP/2.0 200 OK
浏览 375提问于2019-03-16得票数 0
回答已采纳
通过在相关的Set-cookie指令中设置HttpOnly标志,可以防止对cookie值的简单捕获,从而使某些客户端攻击(如跨站点脚本)更难利用。此外,通过在相关的Set-cookie指令中设置secure标志,它确保cookie不会在未加密的通信中传输,从而防止处于中间攻击中的人拦截cookie。我知道,可以通过使用nginx_cookie_flag_module并在nginx配
浏览 0提问于2018-09-26得票数 2
回答已采纳
3回答
我想关闭HttpOnly会话,我认为这是Spring的默认设置。我如何在春季启动时关闭HttpOnly?我目前有代码,如:public @ResponseBody{
session.setAttribute("foo", "
浏览 3提问于2014-03-15得票数 18
回答已采纳
2回答
我们使用apache tomcat作为基于Spring MVC的web应用程序的服务器。如果用户已经从浏览器登录,假设是chrome,我们复制了它的JSESSIONID并粘贴到另一个浏览器,假设是Firefox,然后我们可以访问分配给从chrome登录的特定用户的模块到从firefox登录的用户我们如何通过使用spring安全来防止此类会话劫持?或者一般来说,为了摆脱会话劫持,我们应该编写哪些代码。
浏览 39提问于2020-06-06得票数 0
回答已采纳
我的应用程序在Oracle Weblogic门户上运行。我们使用Servlet版本2.5。res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid +";HttpOnly");
res.setHeader("
浏览 1提问于2013-03-20得票数 14
回答已采纳
1回答
我看了一下这个页面:session: cookie_secure: true当我登录时,在“网络”选项卡中,我看到了三个Set-Cookie实例。第三种是以HTTP编码的方式设置一些参数,这个参数还具有安全和HttpOnly属性。到目前一切尚好。但是,当我转到任何页面时,请求头中有一个Coo
浏览 0提问于2019-08-24得票数 0
回答已采纳
3回答
它似乎从来不响应服务器,包括它刚刚收到的cookie。响应头中的:后续请求头中的在我的节点服务器中,我的响应是这样的:(注意,我包含了所有
浏览 4提问于2014-06-24得票数 3
设置会话cookie:Set-cookie: PHPSESSID=9876; path=/; domain=.example.com; secure; HttpOnly;(有些框架,如Symfony,为每个登录</em
浏览 5提问于2019-12-04得票数 1
回答已采纳
如何在tomcat服务器上为我的spring项目设置会话cookie属性“域”?我正在使用spring安全和HTTPS,目前我有以下内容:
Set-Cookie: JSESSIONCookie: JSESSIONID=DEAC4422AB4E28A7062C08724C8BCFAADomain=.localhost; HttpOnly.我尝试将域属性放在web.xml withing config中。我尝试过使用spring会话CookieHttpSe
浏览 1提问于2016-01-15得票数 3
回答已采纳
在“网络”选项卡上,我在检查set-cookie响应头时得到以下消息:在Chrome的Console选项卡上,我得到了与尝试1完全相同的警告,尽管响应头有一个带有Samesite=none; Secure的set-cookie。此外,标头还有以下警告
This Set
浏览 0提问于2020-07-21得票数 23
当前要在SpringWebFlux web客户端中设置Cookie,我将手动添加具有等号的Cookie,如name1=value;name2=value;name3-value,并使用Cookie键将其添加到标头中webclient.get().header("Cookie",name1=value;name2=value;name3-value);
但是,我不知道如何为这些cookie添加HttpOnly或安全标志(即added.Please ),让我知道如何在使用
浏览 2提问于2020-06-06得票数 1
回答已采纳
我尝试过使用document.cookie,但就我在上所看到的,我不能以这种方式访问安全cookie。
有没有人能建议一种变通办法?
浏览 2提问于2011-11-09得票数 120
回答已采纳
为了了解如何建立自己的身份验证系统,我不再使用自己的防火墙了。我的目标是:问题是..。在前端,当我通过fetch发送CRUD操作
浏览 1提问于2021-05-20得票数 3
回答已采纳
1回答
我有两个应用程序A和B,它们运行在同一个服务器上,具有不同的端口。由于cookie不是特定于端口的,所以这两个应用程序使用的是相同的cookie JSESSIONID。当我登录其中一个时,我会被赶出另一个。正如迈克尔所指出的,我根本不需要更改JSESSIONID名称。这两个应用程序都使用相同的U
浏览 5提问于2013-05-25得票数 4
我们发现,在ColdFusion 2018中,cookie JSESSIONID没有从浏览器中清除,因为HttpOnly标志在浏览器中被设置为true。我们试图通过以下方式在浏览器中禁用此HttpOnly标志,
By disabling HttpOnly flag and Global Script Protection in CF admin.但是这样,HttpOnly标志仍然显示为在浏览器<em
浏览 5提问于2020-01-10得票数 2
回答已采纳
我们在JWT门户上使用了实现登录。当我发布一个有效的用户/传递时,我们有一个令牌ok。; expires=Fri, 18-Nov-2016 06:11:07 GMT; path=/; HttpOnly Se
浏览 1提问于2016-09-09得票数 0
回答已采纳
我正在实现Spring和VueJS。实际上,当我将JWT存储到本地存储时,一切都正常工作。现在互联网上有很多文章说,“不要将jwt存储在本地存储中,而是将其存储为httpOnly cookie以避免XSS攻击”。,我可以看到set-cookie响应:但是以下ajax请求不包括名为my cookie的
浏览 2提问于2022-03-05得票数 0
我有1/2年前运行的小程序。现在,我需要‘重新激活’,然而,由于一个未知的原因,它不再工作。这是规格:
MissingFieldException:
Mozilla或Google在结合java
浏览 3提问于2013-07-25得票数 0
回答已采纳
>
Set:__RequestVerificationToken=IHx8a2zQU374d5CtsoEVWHttpOnly标志,这是很好的,但是它们没有secure标志,就像描述的<
浏览 2提问于2015-09-16得票数 20
回答已采纳
我在apache2.conf中设置了标题条目,如下所示Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
带有上下文标记的useHttpOnly="true“属性的conf/context.xml>true<
浏览 3提问于2015-04-22得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
