开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在Spring Boot2.1.0中禁用登录时Set-Cookie头上的HttpOnly标志

在Spring Boot2.1.0中禁用登录时Set-Cookie头上的HttpOnly标志，可以通过配置Spring Security来实现。HttpOnly标志是用于保护客户端Cookie免受跨站点脚本攻击的安全特性，禁用该标志可能会增加安全风险，请在实际场景中慎重考虑。

要禁用登录时Set-Cookie头上的HttpOnly标志，可以按照以下步骤进行操作：

创建一个自定义的HttpServletResponseWrapper类，用于重写addHeader和setHeader方法。

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

public class CustomHttpServletResponseWrapper extends HttpServletResponseWrapper {

    public CustomHttpServletResponseWrapper(HttpServletResponse response) {
        super(response);
    }

    @Override
    public void addHeader(String name, String value) {
        if (!"Set-Cookie".equalsIgnoreCase(name)) {
            super.addHeader(name, value);
        }
    }

    @Override
    public void setHeader(String name, String value) {
        if (!"Set-Cookie".equalsIgnoreCase(name)) {
            super.setHeader(name, value);
        }
    }
}

创建一个Filter类，用于过滤所有请求并应用自定义的HttpServletResponseWrapper。

import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class CustomFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        CustomHttpServletResponseWrapper wrapper = new CustomHttpServletResponseWrapper((HttpServletResponse) response);
        chain.doFilter(request, wrapper);
    }
}

在Spring Boot应用程序的配置类中注册自定义的Filter。

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class CustomFilterConfig {

    @Bean
    public FilterRegistrationBean<CustomFilter> customFilter() {
        FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new CustomFilter());
        registrationBean.setOrder(1); // 设置Filter的优先级
        registrationBean.addUrlPatterns("/*"); // 设置Filter的URL匹配规则
        return registrationBean;
    }
}

通过以上步骤，将自定义的Filter注册到Spring Boot应用程序中后，它将拦截所有请求并应用CustomHttpServletResponseWrapper来禁用登录时Set-Cookie头上的HttpOnly标志。

请注意，这仅适用于Spring Boot2.1.0版本，其他版本可能有所不同。此外，禁用HttpOnly标志可能会导致安全风险，建议在实际应用中进行详细的安全评估。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

一篇解释清楚Cookie是什么？

使用场景：会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）个性化设置（如用户自定义设置、主题等）浏览器行为跟踪（如跟踪分析用户行为等）二、Cookie 生成过程 1、生成 cookie...服务器生成了 cookie 数据并设置为 Set-Cookie 属性，包含在 HTTP 协议的 Header 中，来告诉浏览器保存这些数据（除非浏览器禁用了 Cookie）。...无法读取cookie）当 cookie 中的数据，只用于服务器时，可以设置此属性；可防止通过 JavaScript 访问 cookie 值；这两个属性可以有效防御大部分 XSS 攻击。...在新版本浏览器中，为默认选项，Same-site cookies 将会为一些跨站子请求保留，如图片加载或者 frames 的调用，但只有当用户从外部站点导航到URL时才会发送。...五、操作 Cookie 的方法 1、JavaScript API JavaScript 代码中通过 Document.cookie 来创建 Cookie，也能用其访问不带 HttpOnly 标志的 Cookie

1.5K1 0

前后端接口鉴权全解 CookieSessionToken 的区别

例如登录之后，服务器给你一个标志，就存在 cookie 里，之后再连接时，都会自动带上 cookie，服务器便分清谁是谁。...另外，cookie 还可以用于跟踪一个用户，这就产生了隐私问题，于是也就有了“禁用 cookie”这个选项（然而现在这个时代禁用 cookie 是挺麻烦的事情）。...设置跨域时不携带 cookie，防止CSRF Secure 和 HttpOnly 是强烈建议开启的。...相反的，只放其他信息或是仅仅证明“已登录”标志的话，只要退出一次，这个 cookie 就失效了，算是降低了潜在危险。...过去网上银行不是只要短信认证就能转账，还要经过一个密码器，上面显示着一个变动的密码，在转账时你需要输入密码器中的代码才能转账，这就是 token 现实世界中的例子。

1.3K3 0

Session、Cookie、Token三者关系理清了吊打面试官

例如 Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Cookie 的 Secure 和 HttpOnly 标记安全的 Cookie...即使是安全的，也不应该将敏感信息存储在cookie 中，因为它们本质上是不安全的，并且此标志不能提供真正的保护。...例如，如果设置 Domain=mozilla.org，则 Cookie 也包含在子域名中（如developer.mozilla.org）。...当用户登录时，Session 就被服务端安全的创建。...在每次请求时，服务器都会从会话 Cookie 中读取 SessionId，如果服务端的数据和读取的 SessionId 相同，那么服务器就会发送响应给浏览器，允许用户登录。

2.1K2 0

解决新版chrome跨域问题:cookie丢失以及samesite属性问题「建议收藏」

发现问题：登录界面前后端分离，ajax提交登录时出错验证码接口和登录接口的session不一致（跨域问题）在网上搜索跨域问题，重新设置，问题依旧错因排除： ajax允许cookie（已经设置...至于不同Chrome版本号的问题可以参考这篇文章：关于解决Chrome新版本中cookie跨域携带和samesite的问题处理 <!...方法如下： 1.在chrome中打开链接： chrome://flags/#site-isolation-trial-opt-out，搜索samesite 2.将上述三个选项禁用(设为disable...然而，我们不可能要求用户像我们一样去禁用新版chrome的SameSite，目前的建议就是在header中设置samesite，即上述的response.setHeader("Set-Cookie",..."HttpOnly;Secure;SameSite=None")后，使用https传输cookie。

4.6K1 0

看完这篇 Session、Cookie、Token，和面试官扯皮就没问题了

例如 Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Cookie的 Secure 和 HttpOnly 标记安全的 Cookie...即使是安全的，也不应该将敏感信息存储在cookie 中，因为它们本质上是不安全的，并且此标志不能提供真正的保护。...例如，如果设置 Domain=mozilla.org，则 Cookie 也包含在子域名中（如developer.mozilla.org）。...当用户登录时，Session 就被服务端安全的创建。...在每次请求时，服务器都会从会话 Cookie 中读取 SessionId，如果服务端的数据和读取的 SessionId 相同，那么服务器就会发送响应给浏览器，允许用户登录。 ?

1.1K2 0

【Nginx29】Nginx学习：代理模块（三）缓冲区与Cookie处理

也可以通过在“X-Accel-Buffering”响应头字段中传递“yes”或“no”来启用或禁用缓冲。可以使用 proxy_ignore_headers 指令禁用此功能。...proxy_cookie_domain 设置应在代理服务器响应的“Set-Cookie”标头字段的域属性中更改的文本。....]; 其实就是我们设置 Cookie 时的那些属性参数，该标志可以包含文本、变量及其组合 (1.19.8)。...在示例中，将 httponly 标志添加到 cookie 之一，对于所有其他 cookie，添加 samesite=strict 标志并删除安全标志。...proxy_cookie_path 设置应在代理服务器响应的“Set-Cookie”标头字段的路径属性中更改的文本。

2.1K4 0

实用，完整的HTTP cookie指南

这有许多用途发如：用户跟踪、个性化，以及最重要的身份验证。...例如，一旦你登录网站，后端就会给你一个cookie： Set-Cookie: userid=sup3r4n0m-us3r-1d3nt1f13r 为了在每个后续请求中正确识别我们的身份，后端会检查来自请求中浏览器的...为了在不同来源的Fetch请求中包含cookie，我们必须提credentials 标志（默认情况下，它是相同来源）。...如果有设置 HttpOnly 看起来是这样的： Set-Cookie: "id=3db4adj3d; HttpOnly" 在 Flask 中 response.set_cookie(key="id",...关于这个主题似乎有很多困惑，因为JWT中的基于令牌的身份验证似乎要取代“旧的”、可靠的模式，如基于会话的身份验证。来看看 cookie 在这里扮演什么角色。

6K4 0

【网络知识补习】❄️| 由浅入深了解HTTP（四） HTTP之cookies

通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。...Cookie 主要用于以下三个方面：会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）个性化设置（如用户自定义设置、主题等）浏览器行为跟踪（如跟踪分析用户行为等） Cookie...如 link 链接以前，如果 SameSite 属性没有设置，或者没有得到运行浏览器的支持，那么它的行为等同于 None，Cookies 会被包含在任何请求中——包括跨站请求。...Cookie 不能包含 HttpOnly 标志。...安全信息被存在 Cookie 中时，需要明白 cookie 的值时可以被访问，且可以被终端用户所修改的。

1.9K2 0

【SpringSecurity系列（十六）】会话固定攻击与防御

---- 前两天和大家聊了 Spring Security 中的 session 并发问题，和小伙伴们聊了如何像 QQ 一样，用户在一台设备上登录成功之后，就会自动踢掉另一台设备上的登录。...在服务端的响应头中有一个 Set-Cookie 字段，该字段指示浏览器更新 sessionid，同时大家注意还有一个 HttpOnly 属性，这个表示通过 JS 脚本无法读取到 Cookie 信息，这样能有效的防止...就是用户如果在浏览器中禁用了 cookie，那么 sessionid 自然也用不了了，所以有的服务端就支持把 sessionid 放在请求地址中： http://www.taobao.com;jsessionid...3.如何防御这个问题的根源在 sessionid 不变，如果用户在未登录时拿到的是一个 sessionid，登录之后服务端给用户重新换一个 sessionid，就可以防止会话固定攻击了。...另一方面就是响应的 Set-Cookie 字段中有 HttpOnly 属性，这种方式避免了通过 XSS 攻击来获取 Cookie 中的会话信息进而达成会话固定攻击。

8644 1

HTTP cookies

通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。...Cookie主要用于以下三个方面：会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）个性化设置（如用户自定义设置、主题等）浏览器行为跟踪（如跟踪分析用户行为等） Cookie曾一度用于客户端数据的存储...提示: 如何在以下几种服务端程序中设置 Set-Cookie 响应头信息 : PHP Node.JS Python Ruby on Rails HTTP/1.0 200 OK Content-type:...例如，如果设置 Domain=mozilla.org，则Cookie也包含在子域名中（如developer.mozilla.org）。...account=bob&amount=1000000&for=mallory"> 当你打开含有了这张图片的HTML页面时，如果你之前已经登录了你的银行帐号并且Cookie仍然有效（还没有其它验证步骤），

2.2K4 0

HTTP cookie 完整指南

这有许多用途发如：用户跟踪、个性化，以及最重要的身份验证。...例如，一旦你登录网站，后端就会给你一个cookie： Set-Cookie: userid=sup3r4n0m-us3r-1d3nt1f13r 为了在每个后续请求中正确识别我们的身份，后端会检查来自请求中浏览器的...你可以通过查看 “Network” 标签中的请求来确认,没有发送此类Cookie：为了在不同来源的Fetch请求中包含cookie，我们必须提credentials 标志（默认情况下，它是相同来源）...如果有设置 HttpOnly 看起来是这样的： Set-Cookie: "id=3db4adj3d; HttpOnly" 在 Flask 中 response.set_cookie(key="id",...关于这个主题似乎有很多困惑，因为JWT中的基于令牌的身份验证似乎要取代“旧的”、可靠的模式，如基于会话的身份验证。来看看 cookie 在这里扮演什么角色。

4.3K2 0

《Apache Shiro 源码解析》- 7.会话

= "session_id=abc123";通过 HTTP 头部的 Set-Cookie 指令设置时，可以添加 Expires 或 Max-Age 属性，例如：httpSet-Cookie...，如登录状态和购物车内容。...设置：通过 HTTP 头部的 Set-Cookie 指令设置普通 Cookie 时，可以添加 Expires 或 Max-Age 属性。...的支持-Spring主流的开发框架，如 Spring ，也内置了对 Session 的支持。...Spring 通过 Spring Session 框架为应用提供了对会话管理的支持，特别是在分布式环境中，这样可以更灵活地在不同的存储（如 Redis、JDBC、Hazelcast 等）之间管理会话。

521 0

HTTP系列之:HTTP中的cookies

通过在cookies中存储一些有用的数据，可以将无状态的HTTP协议变成有状态的session连接，或者用来保存登录的权限，下次不用密码即可登陆，非常有用。...一般来说，cookies用在三个方面： session的管理，用来保存登录状态，从而让HTTP请求可以带上状态信息。用户自定义的设置，这些用户特殊的字段，需要保存在cookies中。...创建cookies 因为cookies是客户端的本地存储，所以如果服务器端想要设置客户端的cookies时，通过在响应头中设置Set-Cookie，浏览器接收到这个响应头之后，就会将对应的cookies...还有一个属性是HttpOnly，如果cookies设置了HttpOnly，那么cookies是不允许被JavaScript访问的，通过设置HttpOnly，我们可以提升客户端数据的安全性： Set-Cookie...对于有些浏览器来说，可能会禁用第三方的cookies，这有可能会导致访问网站的一些功能问题，大家可以主要观察一下。

9422 0

HTTP系列之:HTTP中的cookies

通过在cookies中存储一些有用的数据，可以将无状态的HTTP协议变成有状态的session连接，或者用来保存登录的权限，下次不用密码即可登陆，非常有用。...一般来说，cookies用在三个方面： session的管理，用来保存登录状态，从而让HTTP请求可以带上状态信息。用户自定义的设置，这些用户特殊的字段，需要保存在cookies中。...创建cookies 因为cookies是客户端的本地存储，所以如果服务器端想要设置客户端的cookies时，通过在响应头中设置Set-Cookie，浏览器接收到这个响应头之后，就会将对应的cookies...还有一个属性是HttpOnly，如果cookies设置了HttpOnly，那么cookies是不允许被JavaScript访问的，通过设置HttpOnly，我们可以提升客户端数据的安全性： Set-Cookie...对于有些浏览器来说，可能会禁用第三方的cookies，这有可能会导致访问网站的一些功能问题，大家可以主要观察一下。

7470 0

渗透测试XSS漏洞原理与验证(3)——Cookie安全

Cookie机制Cookie机制:一般来说，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。...服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie，客户端通过javascript也可以添加、修改和删除Cookie。另外，Cookie是无法跨浏览器存在的。...、所属相对路径、域名、是否有Secure标志、是否有HttpOnly标志子域Cookie机制Domain字段，设置cookie时，如果不指定则默认是本域，例如x.xxx.com域通过javaScript...内存Cookie通常用于存储临时数据，如购物车中的物品或表单填写过程中的一些状态信息。安全性方面，因为它们不在硬盘上保存，所以相对更难被恶意软件或黑客长期监控获取。...然而，在实际应用中，也需要结合其他安全措施来保护Cookie的信息，比如使用HTTPS加密传输、设置HttpOnly标志来防止JavaScript访问Cookie、使用Secure标志来确保Cookie

1251 0

【Web技术】245-全面了解Cookie

二、Cookie的传输服务器端在实现Cookie标准的过程中，需要对任意HTTP请求发送Set-Cookie HTTP头作为响应的一部分： Set-Cookie: name=value; expires...安全标志（secure）：指定之后只允许Cookie发送给https协议。浏览器在发送请求时，只会将名称与值添加到请求头的Cookie字段中，发送给服务端。...四、服务端的Cookie 相比较浏览器端，服务端执行Cookie的写操作时，是将拼接好的Cookie字符串放入响应头的Set-Cookie字段中；执行Cookie的读操作时，则是解析HTTP请求头字段Cookie...httpOnly 服务端Set-Cookie字段中新增httpOnly属性，当服务端在返回的Cookie信息中含有httpOnly字段时，开发者是不能通过JavaScript来操纵该条Cookie字符串的...这样做的好处主要在于面对XSS（Cross-site scripting）攻击时，黑客无法拿到设置httpOnly字段的Cookie信息。

5791 0

【Web技术】238-全面了解Cookie

二、Cookie的传输服务器端在实现Cookie标准的过程中，需要对任意HTTP请求发送Set-Cookie HTTP头作为响应的一部分： Set-Cookie: name=value; expires...安全标志（secure）：指定之后只允许Cookie发送给https协议。浏览器在发送请求时，只会将名称与值添加到请求头的Cookie字段中，发送给服务端。...四、服务端的Cookie 相比较浏览器端，服务端执行Cookie的写操作时，是将拼接好的Cookie字符串放入响应头的Set-Cookie字段中；执行Cookie的读操作时，则是解析HTTP请求头字段Cookie...httpOnly 服务端Set-Cookie字段中新增httpOnly属性，当服务端在返回的Cookie信息中含有httpOnly字段时，开发者是不能通过JavaScript来操纵该条Cookie字符串的...这样做的好处主要在于面对XSS（Cross-site scripting）攻击时，黑客无法拿到设置httpOnly字段的Cookie信息。

5802 0

解决document.cookie无法获取到cookie问题

二、场景复现首先登录后，浏览器中是有记录cookie的，如图然后我代码层执行documen.cookie发现获取不到，浏览器控制台也同样后面去研究了一下application中存放的...cookies的属性内容，发现有个属性HttpOnly是选中状态，这个状态是由于后端设置cookie的时候设置了该属性为true导致 //后端代码 public static void addCookie...设置false状态后，documen.cookie就能够获取到百度查了一下HttoOnly属性的作用，觉得这个博主解释很到位【HttpOnly解答】 HttpOnly是2016年微软为IE6而新增了这一属性...HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag，所以它是后端服务器对cookie设置的一个附加的属性，在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护...cookie的风险（如果浏览器支持则会显示，若不支持则选择传统方式）也就是说HttpOnly的存在主要是为了防止用户通过前端来盗用cookie而产生的风险，例如XSS攻击就是对cookie进行盗窃，使用这一属性就可以防止客户端

4.6K2 0

HttpOnly是怎么回事？

记载，HttpOnly cookie最初是由Microsoft Internet Explorer开发人员于2002年在Internet Explorer 6 SP1的版本中实现。...微软开发者网站介绍，HttpOnly是Set-Cookie HTTP响应头中包含的附加标志。...生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险（如果浏览器支持它）。以下示例显示了HTTP响应标头中使用的语法 ?...如果浏览器不支持HttpOnly并且网站尝试设置HttpOnly cookie，浏览器会忽略HttpOnly标志，从而创建一个传统的，脚本可访问的cookie。...对于JavaEE 6之前的Java Enterprise Edition版本，常见的解决方法是使用显式附加HttpOnly标志的会话cookie值覆盖SET-COOKIE HTTP响应头 ?

8.2K3 0

软件安全性测试（连载3）

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。攻击代码，在XSS中称作PayLoad。 1....程序通常会在Cookie中设置一些用户隐私信息，这些信息一旦泄露，是否有一定威胁的。那么有什么办法可以不让用户获得Cookie信息呢？这个时候“HTTPOnly”这个武器就出场了。...HttpOnly cookie最初是由Microsoft Internet Explorer开发人员于2002年在Internet Explorer 6 SP1的版本中实现。...HttpOnly是Set-Cookie HTTP响应头中包含的附加标志。生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险（如果浏览器支持它）。...比如在TomCattom中的/conf/ 目录下context.xml修改即可将所有的Cookies设置HttpOnly。 4.

6393 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭