HttpOnly 标志不能在 tomcat6.0.36 上工作

Question

我尝试了很多方法来使用httponly标志来防止XSS攻击，但都失败了。

常见的方法是在 context.xml 中设置 use HttpOnly=true

为了测试结果：在java代码中设置cookie中的两个测试参数，并且在前面的jsp文件中包含javascript来提醒document.cookie，java代码中设置的两个测试参数是get并显示在alert中。

Java 代码：

 Cookie cookie = new Cookie("httponlytest","testsss");  
 response.addCookie(cookie); 
 Cookie cookie1 = new Cookie("testhttponly","successfu"); 
 response.addCookie(cookie1); 

jsp文件中的javascript：

alert("cookie------------"+document.cookie);

1. 我做错了什么吗？
2. 如果您知道怎么做，那将非常有帮助。

Answer 1

对于不知道 HttpOnly 的其他人：

HttpOnly=true 是一个相对较新的属性，可让 JavaScript 无法访问浏览器中的 cookie。

所以它是一种仅限浏览器的安全 (XSS) 技术来防止访问 JSESSION_ID（劫持 java 会话）等。

因此，您始终可以在 Cookie 本身中设置 HttpOnly 属性。对于 Java 会话 ID，我认为它现在是默认值，至少应该是。

<Context useHttpOnly="true">

这似乎只适用于 JSESSIONID。我刚刚在 SO 中找到了this。

Answer 2

最近我正在处理 http-only=true cookie。在我的研究中，我发现 Mozilla 和 Chrome 不允许 java applet 使用 http-only=true cookie。我在访问 JsessionidSSO cookie 时遇到问题。在我研究 JAVA 的错误时，我发现了this bug 虽然在 IE 中读取 cookie 没有问题，因为 IE 提供了 InternetGetCookieEx() API 来访问 http-only cookie 并添加了标志 INTERNET_COOKIE_HTTPONLY 仅适用于 IE8 及以上版本。所以访问 http-only cookie 的问题仍然没有解决，因为 java 在 java 7 update 40 中提出了修复，而当前版本是 java 7 update21。