srcmini本文概述
防止Apache Tomcat受到XSS(跨站点脚本)攻击
根据Microsoft开发人员网络的说明, HttpOnly&Secure是Set-Cookie HTTP响应标头中包含的附加标志。
在Set-Cookie中使用HttpOnly有助于减轻XSS攻击的最常见风险。
这可以由开发人员在应用程序中完成, 也可以在Tomcat中实施以下操作。
最佳做法是在修改之前备份配置文件, 如果可能的话, 请进行非生产测试以确保它不会破坏应用程序。
让我们看看如何实现这一目标。
在Tomcat 6.x中实现HttpOnly和Secure标志
- 登录到Tomcat服务器
- 转到Tomcat安装路径, 然后进入conf文件夹
- 使用vi编辑器打开context.xml并更新Context部分, 如下所示
useHttpOnly="true"例如:
接下来, 添加一个安全标志。
- 打开server.xml并在”连接器端口”部分中添加以下内容
secure="true"- 重新启动Tomcat服务器以测试应用程序
在Tomcat 7.x / 8.x / 9.x中实现
- 转到Tomcat >> conf文件夹
- 打开web.xml并在session-config部分中添加以下内容
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>例如:
- 保存文件, 然后重新启动Tomcat进行测试。
验证
有多种方法。
如果要测试Intranet应用程序, 则可以使用内置在浏览器中的开发人员工具, 例如Chrome, IE或Firefox。
但是, 如果面向Internet或要在外部进行测试, 则可以使用HTTP Header Checker联机工具。
我希望这会增加Tomcat安全性。在此处了解有关Tomcat管理的更多信息。
评论前必须登录!
注册