开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

从karaf 4 pax-jetty中删除JSESSIONID httponly漏洞

是指在使用karaf 4 pax-jetty作为服务器容器时，存在一个安全漏洞，即JSESSIONID的httponly属性未正确设置，导致可能受到跨站脚本攻击（XSS）。

JSESSIONID是用于在Web应用程序中跟踪用户会话的会话标识符。httponly属性是一种安全标志，它指示浏览器不应该通过脚本访问该cookie，从而减少XSS攻击的风险。

为了解决这个漏洞，可以按照以下步骤进行操作：

确认karaf 4 pax-jetty的版本：首先，确认你正在使用的karaf 4 pax-jetty的版本。可以通过查看相关文档或执行命令来获取版本信息。
修改配置文件：找到karaf 4 pax-jetty的配置文件，通常是在etc目录下的org.ops4j.pax.web.cfg文件。使用文本编辑器打开该文件。
设置httponly属性：在配置文件中找到org.osgi.service.http.secure.enabled属性，并将其设置为true。这将启用安全模式，确保httponly属性被正确设置。
重启karaf 4 pax-jetty：保存配置文件，并重启karaf 4 pax-jetty服务，以使更改生效。

通过执行上述步骤，你可以成功从karaf 4 pax-jetty中删除JSESSIONID httponly漏洞，提高系统的安全性。

关于karaf 4 pax-jetty和相关概念的详细信息，你可以参考腾讯云的产品文档：karaf 4 pax-jetty产品介绍。

请注意，本答案仅提供了解决该漏洞的一种方法，具体操作可能因环境和需求而异。在实际应用中，建议根据具体情况进行调整和配置。

相关搜索:Log4J:从CloseableThreadContext中删除属性 Symfony 4 VichUploader:无法从数据库中删除文件从amcharts 4的工具提示中删除指针从Apache Camel访问Karaf 4中的数据源时出现问题从bootstrap 4 closed选项卡中删除活动类从formBuilder angular 4中删除父字段从mule 4中的数组中删除键值对从Neo4j中删除所有节点时的从URL中删除会话代码以防止安全漏洞从Windows中删除pgadmin 4

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Jetty配置自定义的JSESSIONID信息

Context参数示例可以在Web应用的WEB-INF/web.xml文件中指定这些参数。

03

hibernate5新特性展示

摘要：在hibernate5中,有了一些新的变动: 新引导 API Spatial/GIS 支持 Java 8 支持扩展 AUTO id 生成支持命名策略分离属性转换器支持更好的在hibernate5中,有了一些新的变动: 新引导 API Spatial/GIS 支持 Java 8 支持扩展 AUTO id 生成支持命名策略分离属性转换器支持更好的 “bulk id table” 支持事务管理模式工具链 Session API类化改进 OSGi 支持改进 bytecode 增强功

04

HttpOnly是怎么回事？

最近配合公司安全团队开展一些工作，安全团队建议，内部系统（用户端系统有跨域需求，其他方式解决更合适）对接SSO建议开启HttpOnly。HttpOnly？没听说过，赶紧百度一下。

03

OpenDaylight Carbon二次开发实用指南

通过本文你将知道： Maven Archetype的基本原理以及如何使用Maven Archetype生成适用于不同版本的ODL子项目。本文将着重讲解cli命令开发，以及Carbon Release中新引入的Blueprint的一些基本知识。OpenDaylight Carbon Release中模块运行的大致流程以及对于api和impl的开发可以参考ODL碳版本模块开发及流程梳理还有ODL controller官方开发指南（它对DataStore的描述相当不错）。如何将编写好的应用添加到一个正在运行的

nexus 2.X版本升级 3.X版本

Nexus版本是2.X , 开发需要使用新特性,进行升级,通过查询官网发现,需要升级到2.X特定版本,才能升级到3.X的对应版本.

00

web渗透测试—-33、HttpOnly[通俗易懂]

HttpOnly是微软公司的Internet Explorer 6 SP1引入的一项新特性。这个特性为cookie提供了一个新属性，用以阻止客户端脚本访问Cookie，至今已经称为一个标准，几乎所有的浏览器都会支持HttpOnly。下面示例显示了HTTP响应标头中HttpOnly使用的语法：

03

Kali Linux Web渗透测试手册(第二版) - 4.5- 手动识别Cookie中的漏洞

Cookie是服务器存放在客户端上的信息片段，它可以是长效的，也可以是短期的。在现如今的Web应用当中，Cookie被更多地用来做会话跟踪。服务器会将生成的会话标识符简称Session ID存储在Cookie中用于用户的身份验证，来自用户的每一次请求都将附带该Cookie，以此向服务器证明身份。

03

Cookie设置HttpOnly属性

在Servlet 3.0中增加对Cookie（请注意，这里所说的Cookie，仅指和Session互动的Cookie，即人们常说的会话Cookie）较为全面的操作API。最为突出特性：支持直接修改Session ID的名称（默认为“JSESSIONID”)，支持对cookie设置HttpOnly属性以增强安全，避免一定程度的跨站攻击。防止脚本攻击,禁止了通过脚本获取cookie信息,浏览器不会将其发送给任何第三方利用拦截器实现，判断每次请求的响应是否包含SET-COOKIE头部，重写会话Cookie，添加

09

Nexus是什么(下)

远程索引：这里只针对代理仓库，其他仓库不存在远程索引一说。配置好远程仓库后，搜索时仍然是不能搜到远程仓库的任意文件的。为了能搜索到远程仓库的所有文件，我们需要开启 Nexus 中的代理仓库下载远程索引（默认这个设置是关闭的）。只要远程仓库提供 nexus-indexer 形式的索引， Nexus 就可以下载它的索引。这样在你搜索时，无论私服本地是否存在相应文件，都能被搜索到，然后项目引用时，nexus会去远程仓库下载，并缓存在本地。

00

Nexus是什么(下)

远程索引：这里只针对代理仓库，其他仓库不存在远程索引一说。配置好远程仓库后，搜索时仍然是不能搜到远程仓库的任意文件的。为了能搜索到远程仓库的所有文件，我们需要开启 Nexus 中的代理仓库下载远程索引（默认这个设置是关闭的）。只要远程仓库提供 nexus-indexer 形式的索引， Nexus 就可以下载它的索引。这样在你搜索时，无论私服本地是否存在相应文件，都能被搜索到，然后项目引用时，nexus会去远程仓库下载，并缓存在本地。

01

reGeorg搭建HTTP隧道和流量分析

reGeorg 的前身是2008年 SensePost 在 BlackHat USA 2008 的 reDuh 延伸与扩展。

02

前后分离的优点

通过将开发团队前后端分离化，让前后端工程师只需要专注于前端或后端的开发工作，是的前后端工程师实现自治，培养其独特的技术特性，然后构建出一个全栈式的精益开发团队。

04

腾讯安全威胁情报中心推出2024年5月必修安全漏洞清单

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。

02

Nacos身份绕过漏洞复现（QVD-2023-6271）

该漏洞主要用了win10_JAVA的环境，参考网上已有的复现文章，使用jdk-11.0.2_windows-x64_bin.exe

01

本地私服仓库nexus3.3.1使用手册

私服架构私服是指私有服务器，是架设在局域网的一种特殊的远程仓库，目的是代理远程仓库及部署第三方构建。有了私服之后，当 Maven 需要下载构件时，直接请求私服，私服上存在则下载到本地仓库；否则，私服

08

Session 的 Cookie 域处理（多域名虚拟主机）

2.5.3. Session 的 Cookie 域处理环境 User -> Http2 CDN -> Http2 Nginx -> proxy_pass 1.1 -> Tomcat 背景，默认情况下 tomcat 不会主动推送 Cookie 域，例如下面的HTTP头 Set-Cookie: JSESSIONID=8542E9F58C71937B3ABC97F002CE039F;path=/;HttpOnly 这样带来一个问题，在浏览器中默认Cookie域等于 HTTP_HOST 头（www.

03

Django 5种类型Session使用方法解析

Session:在计算机中，尤其是在网络应用中，称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。

01

ONOS 实战分享（一）：项目建立、调试到热部署

以上是ONOS的架构图，相信大家已经熟记于心了本文将在Distributed Core Tier，以开发一个控制器内的模块为例，带领大家从项目的建立，导入IDE，编译构建，热部署，在线调试，最后到热迭代，走过一个项目的开发流程。对于实现模块具体功能的介绍内容，请阅读我的后续文章。本文尽量不介绍Maven及其pom、OSGI、Karaf的内容，这些不是ONOS特有的，但需要朋友们对它们是什么、有什么作用，有个大致的了解，所以请大家Google之。文中将会随时插入一些我在实践中遇到的棘手问题，和实践

08

前后端分离--整套解决方案

前后端分离并不只是开发模式，而是web应用的一种架构模式。在开发阶段，前后端工程师约定好数据交互接口，实现并行开发和测试；在运行阶段前后端分离模式需要对web应用进行分离部署，前后端之前使用HTTP或者其他协议进行交互请求。

03

Cookie深度解析

00

分布式基础__session 和 cookie的差异

HTTP协议是一种无状态的通信协议。那么这就以为着客户端按道理是需要每次请求之前都要和服务器做连接的。但是每次都进行这种连接，会非常耗时，并且这些重复的网络请求的意义都不大，所以如何避免这些重复的工作就成为了聪明人们发挥聪明的地方了。

再谈session 和 cookie的差异

我们都知道 session是存储在服务器端的，cookie是存储在客户端的；他们两者之间又有什么联系呢？这点要先从HTTP先说起。 HTTP协议是一种无状态的通信协议。那么这就以为着客户端按道理是需要每次请求之前都要和服务器做连接的。但是每次都进行这种连接，会非常耗时，并且这些重复的网络请求的意义都不大，所以如何避免这些重复的工作就成为了聪明人们发挥聪明的地方了。 cookie的特点就是比较大，可以储存一些信息，比如数据。 session一般保存的都是用户信息之类的数据。在客户端请求服务

08

Codeql分析Vulnerability-GoApp

今天我们利用codeql分析下“cookie未启用httponly“这类的安全问题，由此加深自己对codeql的使用。如果反应好的话，可以考虑把Vulnerability-goapp的其他漏洞也弄一弄。

02

OpenDaylight铍版本初体验——坑还多吗

OpenDaylight项目发布铍版本（ODL Be），这也是其发布的第四个版本，距离上次发布锂版本（SR3）仅仅只相隔了两个半月，相比较以前版本发布，时间较短，但是据官方宣称，这个发布与先前版本有着

08

看完这篇 Session、Cookie、Token，和面试官扯皮就没问题了

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

Java（web）项目安全漏洞及解决方式【面试+工作】

Java（web）项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息，可以说形形色色，对于在网络安全方面不太专业的同志来说，有点眼花缭乱，理不出头绪。在这里，我来帮大家整理一下。　　以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解，我们通常把它分为三个层次：１.网络安全。如防火墙、路由器、网络结构等相关的安全问题２.系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的

04

PHP安全配置

在配置文件中，设置display_errors=On，开启了PHP错误显示，在PHP程序遇到错误时，会暴露PHP文件和系统路径，从而容易被威胁，我们需要设置：

02

SpringBoot2.0之CORS跨域配置并保持登录

在前后分离的项目中，前端项目往往和后端项目是分开开发。前端有自己的服务器来访问页面比如http://127.0.0.1:8080，然后通过网络库（Axios）来实现Ajax请求后端服务器http://127.0.0.1:8085来实现数据的展现。

03

2017年的Linux内核防护依然脆弱

Linux 内核 “社区” 对待安全的优先级并不高，虽然经历了 2000 年代的多次大规模漏洞利用事件但并没有让 Linus Torvalds 本人改变 "A bug is bug" 的哲学，由于 Linux 内核的安全问题逐渐影响到了 Android 和 IoT 设备，一次华盛顿邮报的曝光促使了 KSPP（Linux 内核自防护项目）的成立，KSPP 是由 Linux 基金会旗下的 CII（基础架构联盟）管理，其吸纳了来自诸多大厂商（Google, RedHat, Intel, ARM 等）的工程师进

07

Cookie中的httponly的属性和作用

如果cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击，窃取cookie内容，这样就增加了cookie的安全性，即便是这样，也不要将重要信息存入cookie。XSS全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

04

JClouds的命令行界面

07

Session、Cookie、Token三者关系理清了吊打面试官

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

Nexus OSS 3 搭建并配置使用 Docker & Git LFS 仓库

09

2017年的Linux内核防护依然脆弱

“Linux 内核 “社区” 对待安全的优先级并不高，虽然经历了 2000 年代的多次大规模漏洞利用事件但并没有让 Linus Torvalds 本人改变 “A bug is bug” 的哲学，由于 Linux 内核的安全问题逐渐影响到了 Android 和 IoT 设备，一次华盛顿邮报的曝光促使了 KSPP（Linux 内核自防护项目）的成立。

01

JClouds的命令行界面

我已经使用JCloud（一种面向Java支持多种云的工具集）一年了。到目前为止，我已经在很多领域广泛地使用了JCloud，特别是在Fuse Ecosystem上。虽然JCloud很厉害，但是它缺乏用来管理云提供商的工具，一个和EC2命令类似但有JCloud特点的工具，能够管理EC2，Rackspace，Opensack，CloudStack 等的通用工具。

09

ONOS一键安装脚本

工欲善其事，必先利其器。在部署SDN实践时，通常需要安装OVS和控制器等软件，经历过的同学都知道，很多时候会被一些细节卡住，影响生产效率。有时由于实验需要还需要多次部署同样的内容，重复进行多遍同样的命

06

pax：一款针对PKCS7 Padding Oracle攻击的安全研究工具

pax是一款针对PKCS7 Padding Oracle攻击的强大安全研究工具，在该工具的帮助下，广大研究人员可以更好地学习、理解和利用Padding Oracle漏洞，并设计出更完善的漏洞检测方案或安全解决方案。

02

解决org.apache.shiro.session.UnknownSessionException: There is no session with id的问题

最近在整合了Spring+Shiro+Redis实现tomcat集群session共享的问题之后，发布以后运行以后发现老是会出现：org.apache.shiro.session.UnknownSessionException: There is no session with id [xxxx]的问题，具体问题如下截图：

03

有关Web 安全学习的片段记录（不定时更新）

00

Linux 中配置SDN服务

feature:install odl-dluxapps-applications

01

xss获取用户cookie如此简单，你学会了吗？

利用别人的cookie，他们可以冒充真实的用户，在颁发cookie的那个网站中为所欲为，个人隐私在他们面前根本不存在。

04

OpenDaylight新建HelloWorld工程并集成版本

网上很多OpenDaylight的HelloWorld教程，本人就参照Lithium-SR3版本的Developers Guide （大约在17-21页），写了一个HelloWorld项目。本文对新建工程和集成到发行版的过程进行简单总结。 1、生成新的MAVEN工程。 cd ~/work/odl mvn archetype:generate -DarchetypeGroupId=org.opendaylight.controller -DarchetypeArtifactId=opendaylight-s

05

python3.7爬虫:使用Selenium带Cookie登录并且模拟进行表单上传文件

首先理清思路，没必要每次登录都去实时监测识别登录页面的验证码，而是反过来想，当我们登录成功了，必然在cookie里留下标识符比如token之类的，那么我们直接带着这些cookie去请求页面，就可以在cookie有效期内随时登录这个系统了：https://www.dianxiaomi.com/package/toAdd.htm

02

ONOS编程系列(一)之简单应用开发

一个ONOS application是使用maven做管理的OSGi bundle。因此，ONOS application 可以归结为Java类和POM文件的集合。本教程以基于intent的交互式转发application为例，讨论了如何从零开始建立一个新应用。本教程假设读者已经具备ONOS的运行经验，能够熟练启动ONOS实例。有关ONOS的启动不做过多描述。如果出现启动上的问题，请移步官方wiki文档自行寻找答案。本文章结束后，你应该学会： 1）应用的组织与结构； 2）如何在多个服务中注册你

06

分析一次自动登录引起的风波，并提供对Cookie的处理方式

前言：最近在开发APP期间遇到的最无厘头的问题就是自动登录遇到的问题，一次偶然的机会发现问题所在，这里分享一下。现象我们APP内置了一个自动登录的功能，流程就是在当APP打开时，立刻去进行一次自动登录，但是自动登录不能阻塞当前用户的操作，主界面上数据，列表，版本验证，都要去做。以及用户的操作也不允许用弹框方式阻挡，需要做到用户无感知登录。但是有时候会发现有时候用户提示登录成功了，但是去操作别的操作的时候，依旧提示未登录用户反馈一多，昨天就决心彻底解决这个问题，从本地网络，到模拟器模拟网络差，网络

06

Offset2lib攻击测试：看我如何全面绕过64位Linux的内核防护

前言免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负! 地址空间布局随机化(ASLR)，在你知道目标代码或数据定位的前提下，它可以变成一种规避攻击的技术。正因为黑客并不知道整个地址空间的布局，ASLR技术变得极为有效。只有当可执行程序编译为PIE时（地址无关可执行文件），才能最大限度地从ASLR技术那里获得保护，因为其所有组成部分都是从随机地址加载的。然而，当可执行文件被编译成PIE之后，GNU/Linux下的ASLR实现的过程中，会出现一个名为Offset2

09

SDN开发笔记（三）：ODL源码编译生成发行版控制器

前言鉴于网上对于SDN开发相关的资料较少又乱的现状，从这篇文章开始，我将陆续分享我在SDN开发过程中的经验，我的SDN项目开发是基于OpenDaylight的release-lithium-sr3版本，该版本相对稳定。分享内容都是经过我精心测试与验证，包括： 1、SDN开发环境的搭建（win7环境） 2、SDN控制器的使用（ubuntu环境搭建、controller使用、mininet的使用） 3、ODL源码编译生成发行版控制器 4、md-sal应用程序开发指南 5、应用程序集成到ODL控制器 6、ya

08

SDN开发笔记（四）：md-sal应用程序开发

环境搭建继前3篇文章SDN开发环境的搭建（win7环境）、SDN控制器的使用（ubuntu环境搭建、controller使用、mininet的使用）和ODL源码编译生成发行版控制器之后，终于有时间写第4篇文章，本章主要讲如何开发一个基于MD-SAL的应用程序。开发APP之前请参照之前的文章搭建好jdk环境以及maven环境，搭建环境方法请参照《win7-odl环境搭建》与《ubuntu-odl环境搭建》生成模块骨架 1、在ubuntu中输入以下命令，会有一个交互的提示 mvn archetype:gen

05

XSS知解123

跨站脚本攻击（Cross-Site Scripting），为了避免与 CSS 混淆，一般简称为 XSS。XSS 作为一种典型的主要可以分为 3 种：

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭