根据Microsoft Developer Network的说法,HttpOnly & Secure是 Set-Cookie HTTP 响应标头中包含的附加标志。
在 Set-Cookie 中使用 HttpOnly 有助于减轻最常见的XSS 攻击风险。
这可以由开发人员在应用程序中完成,也可以在 Tomcat 中实现以下内容。
作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。
让我们看看如何实现这一点。
在 Tomcat 6.x 中实现 HttpOnly 和 Secure 标志
登录到Tomcat服务器
转到Tomcat安装路径,然后转到conf文件夹
context.xml 使用 vi 编辑器打开并更新Context部分,如下所示
useHttpOnly="true"
前任:
接下来,添加一个安全标志。
打开server.xml并在下面Connector port添加
secure="true"
重启 Tomcat 服务器以测试应用程序
在 Tomcat 7.x/8.x/9.x 中实现
转到 Tomcat >> conf 文件夹
打开 web.xml 并在下面的session-config部分中添加
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
前任:
保存文件并重新启动 Tomcat 进行测试。
确认
有多种方法。
如果您正在测试 Intranet 应用程序,那么您可以使用 Chrome、IE 或 Firefox 等浏览器内置的开发人员工具。
但是,如果面向 Internet 或想在外部对其进行测试,则可以使用 HTTP Header Checker在线工具。
我希望这会增加一层Tomcat 安全性。在此处了解有关 Tomcat 管理的更多信息。