Empêcher Apache Tomcat d'attaques XSS (Cross-site-scripting)
Selon Réseau de développeurs Microsoft, HttpOnly & Sécurisés est un indicateur supplémentaire inclus dans l'en-tête de réponse HTTP Set-Cookie.
L'utilisation de HttpOnly dans Set-Cookie permet d'atténuer le risque le plus courant d'un Attaque XSS.
Cela peut être effectué dans une application par les développeurs ou implémenter les éléments suivants dans Tomcat.
En tant que meilleure pratique, effectuez une sauvegarde du fichier de configuration avant de le modifier et, si possible, testez-le en non-production pour vous assurer qu'il ne casse pas l'application.
Voyons comment y parvenir.
Implement HttpOnly & Secure flag in Tomcat 6.x
- Connectez-vous au serveur Tomcat
- Accédez au chemin d'installation de Tomcat, puis au dossier conf
- Ouvert
context.xmlutilisation de l'éditeur vi et mise à jourContextsection comme ci-dessous
useHttpOnly="true"Ex:
Ensuite, ajoutez un indicateur sécurisé.
- Ouvert
server.xmlet ajoutez ci-dessous dansConnector port
secure="true"- Redémarrez le serveur Tomcat pour tester l'application
Implementing in Tomcat 7.x/8.x/9.x
- Allez dans le dossier Tomcat >> conf
- Ouvrez web.xml et ajoutez ci-dessous dans
session-config
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>Ex:
- Enregistrez le fichier et redémarrez Tomcat pour le tester.
Verification
Il existe plusieurs manières.
Si vous testez des applications intranet, vous pouvez utiliser des outils de développement intégrés dans le navigateur, tels que Chrome, IE ou Firefox.
Cependant, si vous êtes connecté à Internet ou si vous souhaitez le tester en externe, il peut utiliser Vérificateur d'en-tête HTTP outil en ligne.
J'espère que cela ajoute une couche de Sécurité Tomcat. En savoir plus sur l'administration Tomcat ici.
