Verhindern Sie, dass Apache Tomcat XSS-Angriffe (Cross-Site-Scripting) ausführt
Laut Microsoft Developer Network, HttpOnly & Sichern ist ein zusätzliches Flag, das im HTTP-Antwortheader von Set-Cookie enthalten ist.
Die Verwendung von HttpOnly in Set-Cookie hilft dabei, das häufigste Risiko eines XSS-Angriff.
Dies kann entweder innerhalb einer Anwendung von Entwicklern erfolgen oder Folgendes in Tomcat implementieren.
Als bewährte Methode sollten Sie vor dem Ändern eine Sicherungskopie der Konfigurationsdatei erstellen und den möglichen Test in einer Nichtproduktion durchführen, um sicherzustellen, dass die Anwendung nicht beschädigt wird.
Mal sehen, wie das geht.
Implement HttpOnly & Secure flag in Tomcat 6.x
- Melden Sie sich beim Tomcat-Server an
- Wechseln Sie zum Tomcat-Installationspfad und dann zum Ordner conf
- Offen
context.xmlmit vi editor und updateContextAbschnitt wie unten
useHttpOnly="true"Ex:
Als nächstes fügen Sie ein sicheres Flag hinzu.
- Offen
server.xmlund unten hinzufügenConnector portAbschnitt
secure="true"- Starten Sie den Tomcat-Server neu, um die Anwendung zu testen
Implementing in Tomcat 7.x/8.x/9.x
- Gehen Sie zum Ordner Tomcat >> conf
- Öffnen Sie die Datei web.xml und fügen Sie sie unten hinzu
session-configAbschnitt
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>Ex:
- Speichern Sie die Datei und starten Sie Tomcat neu, um sie zu testen.
Verification
Es gibt mehrere Möglichkeiten.
Wenn Sie Intranet-Anwendungen testen, können Sie im Browser integrierte Entwicklertools wie Chrome, IE oder Firefox verwenden.
Wenn Sie jedoch mit dem Internet verbunden sind oder es extern testen möchten, kann es verwendet werden HTTP-Header-Checker Online-Tool.
Ich hoffe, dies fügt eine Schicht hinzu Tomcat-Sicherheit. Erfahren Sie mehr über die Tomcat-Administration hier .
