探秘Servlet 3.0中的Web安全改進
原創作者:Jacob.G
之前我們考察了Servlet 3.0的新特性和異步處理方面的改進,今天我們來一起來了解Servlet 3.0安全方面的更新。跨站腳本攻擊一直是Web攻擊的最常用手段,其中Cookie則是Web安全的薄弱環節。在Servlet 3.0中開始支持HttpOnly Cookies,提升了Web安全程度。
【51CTO獨家特稿】Servlet 3.0最為最新的Servlet最新標準,其提供了很多新特性,比如異步請求處理、聲明式語法支持等。在這里我們將考察Servlet 3.0安全方面的增強。
對網站進行跨站攻擊最常用的一個手段就是在網頁中插入惡意的Html和JavaScript代碼。一旦你的網頁被增加這些惡意代碼,那么就非常容易泄流你的個人信息,比如Cookie。
Cookie作為保留會話狀態的手段,經常被用來保存用戶登錄信息等敏感性數據,但是由于Cookie既可以在服務器端讀取,又可以在客戶端通過腳本讀取,則導致其成為Web應用安全的一個薄弱環節。
在2002年,微軟采用了一種被稱為“HttpOnly Cookies”的技術,來防止惡意讀取Cookie信息。該技術實際并不復雜,只是在Cookie上增加一個額外的屬性,在瀏覽器支持的情況下,如果嘗試通過腳本讀取Cookie內容,返回結果將為空。現在大多數服務器和客戶端都采用的是這種技術,當然瀏覽對對XMLHttpRequest對象進行了特殊處理。
在Servlet 3.0規范中,Java Servlet開始支持“HttpOnly Cookies”。當使用HttpServletResponse的addCookie方法,向瀏覽器提供Cookie的時候,可以通過Cookie對象的setHttpOnly方法指定Cookie為HttpOnly。例如:
- Cookie cooki=new Cookie("user_name","guandeliang");
- cooki.setMaxAge(60*60*24*365);
- cooki.setPath("/");
- cooki.setHttpOnly(true);
- response.addCookie(cooki);
另外,如果希望判斷一個Cookie對象是否是HttpOnly,可以通過調用該對象的isHttpOnly()進行判斷。
【編輯推薦】
責任編輯:佚名
來源:
51CTO
