如何在tomcat / java webapps中配置HttpOnly cookie?


Answers:


66

从Tomcat 6.0.19和Tomcat 5.5.28开始支持httpOnly。

请参阅更改日志条目以获取错误44382。

错误44382的最后一条评论指出:“此错误已应用于5.5.x,并将包含在5.5.28及更高版本中。” 但是,似乎没有发布5.5.28。

可以在conf / context.xml中为所有webapp启用httpOnly功能:

<Context useHttpOnly="true">
...
</Context>

我的解释是,通过将其设置在conf / server.xml中所需的Context条目上,它也适用于单个上下文(与上述相同)。


我正在运行Tomcat 5.5.36。此useHttpOnly属性似乎仅适用于JSESSIONID cookie。我在所有上下文中添加了此标志,以确保所有cookie都将在末尾添加“; HttpOnly”。但是,仅JSESSIONID受以下影响: Set-Cookie=JSESSIONID = 25E8F ...; 路径= / custompath; HttpOnly mycustomcookie1 = xxxxxxx; 路径= / mycustomcookie2 = 1351101062602; 路径= / mycustomcookie3 = 0; 路径= / mycustomcookie4 = 1; 路径= /; 安全mycustomcookie5 = 4000; 过期时间为2022年10月22日星期六17:51:02 GMT;路径= /我还有其他地方做错了吗?
L. Holanda 2012年

该文档似乎表明useHttpOnly标志仅与会话ID cookie有关:tomcat.apache.org/tomcat-5.5-doc/config / ...我认为这是旨在保护会话cookie的权宜之计。如仅Http能力标志饼干直到3.0(被Tomcat 7覆盖)了Servlet规范的一部分:today.java.net/pub/a/today/2008/10/14/...
JT。

19

更新:这里的JSESSIONID内容仅适用于较旧的容器。除非您使用<Tomcat 6.0.19或<Tomcat 5.5.28或其他不支持HttpOnly JSESSIONID cookie的容器作为配置选项,否则请使用jt当前接受的答案。

在您的应用中设置Cookie时,请使用

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

但是,在许多Web应用程序中,最重要的cookie是会话标识符,会话标识符由容器自动设置为JSESSIONID cookie。

如果仅使用此cookie,则可以编写ServletFilter以便在出局时重新设置cookie,从而将JSESSIONID强制为HttpOnly。http://keepitlocked.net/archive/2007/11/05/java-and-httponly.aspx上 的页面http://alexsmolen.com/blog/?p=16建议在过滤器中添加以下内容。

if (response.containsHeader( "SET-COOKIE" )) {
  String sessionid = request.getSession().getId();
  response.setHeader( "SET-COOKIE", "JSESSIONID=" + sessionid 
                      + ";Path=/<whatever>; Secure; HttpOnly" );
} 

但请注意,这将覆盖所有cookie,并且只会在此过滤器中设置您在此处声明的内容。

如果您在JSESSIONID cookie中使用其他cookie,则需要扩展此代码以在过滤器中设置所有cookie。对于多个cookie,这不是一个很好的解决方案,但是对于仅JSESSIONID的设置来说,这可能是一个可接受的快速修复方法。

请注意,随着代码的不断发展,当您忘记此过滤器并尝试在代码中的其他位置设置另一个Cookie时,会有一个令人讨厌的隐藏错误等待着您。当然,它不会被设置。

这确实是一个hack。如果您确实使用了Tomcat并且可以对其进行编译,那么请看一下Shabaz关于将HttpOnly支持修补到Tomcat中的出色建议。


8
此代码删除了; Secure标志,因此使https的使用毫无意义。
Hendrik Brummermann 2010年

在Servlet 3.0投诉应用程序服务器中,我可以通过将以下内容添加到web.xml中来为会话cookie(JSESSIONID)设置HttpOnly和secure标志:<session-config> <cookie-config> <secure> true </ secure> < http-only> true </ http-only> </ cookie-config> </ session-config>
Roger Jin

@RogerJin,请将其作为新答案发布,这个已有6年历史的答案越来越过时了。
Cheekysoft 2014年

请谨慎使用setHeader,因为它会删除所有以前具有相同名称的标头。例如,当您设置自定义cookie时,它可以删除JSESSIONID cookie。而是将response.addHeader()用于自定义Cookie
dpinya

14

请注意不要覆盖https-sessions中的“; secure” cookie标志。此标志可防止浏览器通过未加密的http连接发送cookie,从而使对合法请求的HTTP使用变得毫无意义。

private void rewriteCookieToHeader(HttpServletRequest request, HttpServletResponse response) {
    if (response.containsHeader("SET-COOKIE")) {
        String sessionid = request.getSession().getId();
        String contextPath = request.getContextPath();
        String secure = "";
        if (request.isSecure()) {
            secure = "; Secure"; 
        }
        response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid
                         + "; Path=" + contextPath + "; HttpOnly" + secure);
    }
}

2
请注意,使用request.isSecure()并不总是准确的。考虑在LB后面执行SSL加速的负载平衡节点。从浏览器到负载均衡器的请求将通过HTTPS发出,而负载均衡器与实际服务器之间的请求将通过纯HTTP发出。这将导致request.isSecure()false,当浏览器使用SSL。
安东

13

如果您的Web服务器支持Serlvet 3.0规范,例如tomcat 7.0+,则可以在以下方式中使用web.xml

<session-config>
  <cookie-config>
     <http-only>true</http-only>        
     <secure>true</secure>        
  </cookie-config>
</session-config>

如文档中所述:

HttpOnly:指定是否将此Web应用程序创建的任何会话跟踪cookie都标记为HttpOnly。

安全:指定是否将由此Web应用程序创建的任何会话跟踪cookie标记为安全,即使发起相应会话的请求使用的是纯HTTP而不是HTTPS

请参考如何为Java Web应用程序设置httponly和会话cookie


10

对于会话cookie,Tomcat似乎尚不支持它。请参阅错误报告。需要添加对HTTPOnly会话cookie参数的支持。现在可以在这里找到一些涉及的变通方法,它基本上可以归结为手动修补Tomcat。目前,我感到非常震惊,目前还无法找到一种简单的方法。

总结一下解决方法,它涉及下载5.5,然后在以下位置更改源:

org.apache.catalina.connector.Request.java

//this is what needs to be changed
//response.addCookieInternal(cookie);

//this is whats new
response.addCookieInternal(cookie, true);
}

org.apache.catalina.connectorResponse.addCookieInternal

public void addCookieInternal(final Cookie cookie) {
addCookieInternal(cookie, false);
}

public void addCookieInternal(final Cookie cookie, boolean HTTPOnly) {

if (isCommitted())
return;

final StringBuffer sb = new StringBuffer();
//web application code can receive a IllegalArgumentException
//from the appendCookieValue invokation
if (SecurityUtil.isPackageProtectionEnabled()) {
AccessController.doPrivileged(new PrivilegedAction() {
public Object run(){
ServerCookie.appendCookieValue
(sb, cookie.getVersion(), cookie.getName(),
cookie.getValue(), cookie.getPath(),
cookie.getDomain(), cookie.getComment(),
cookie.getMaxAge(), cookie.getSecure());
return null;
}
});
} else {
ServerCookie.appendCookieValue
(sb, cookie.getVersion(), cookie.getName(), cookie.getValue(),
cookie.getPath(), cookie.getDomain(), cookie.getComment(),
cookie.getMaxAge(), cookie.getSecure());
}
//of course, we really need to modify ServerCookie
//but this is the general idea
if (HTTPOnly) {
sb.append("; HttpOnly");
}

//if we reached here, no exception, cookie is valid
// the header name is Set-Cookie for both "old" and v.1 ( RFC2109 )
// RFC2965 is not supported by browsers and the Servlet spec
// asks for 2109.
addHeader("Set-Cookie", sb.toString());

cookies.add(cookie);
}

2

还应该注意的是,打开HttpOnly将破坏需要状态访问jvm的applet。

Applet http请求将不会使用jsessionid cookie,并且可能会分配给其他tomcat。


2

对于我明确设置的cookie,我切换为使用Apache Shiro提供的SimpleCookie。它没有继承自javax.servlet.http.Cookie,因此要使一切正常工作还需要花费一些时间,但是它确实提供了HttpOnly属性集,并且可以与Servlet 2.5一起使用。

要在响应上设置Cookie,而response.addCookie(cookie)无需这样做cookie.saveTo(request, response)



1

在Tomcat6中,您可以有条件地从HTTP侦听器类启用:

public void contextInitialized(ServletContextEvent event) {                 
   if (Boolean.getBoolean("HTTP_ONLY_SESSION")) HttpOnlyConfig.enable(event);
}

使用本课程

import java.lang.reflect.Field;
import javax.servlet.ServletContext;
import javax.servlet.ServletContextEvent;
import org.apache.catalina.core.StandardContext;
public class HttpOnlyConfig
{
    public static void enable(ServletContextEvent event)
    {
        ServletContext servletContext = event.getServletContext();
        Field f;
        try
        { // WARNING TOMCAT6 SPECIFIC!!
            f = servletContext.getClass().getDeclaredField("context");
            f.setAccessible(true);
            org.apache.catalina.core.ApplicationContext ac = (org.apache.catalina.core.ApplicationContext) f.get(servletContext);
            f = ac.getClass().getDeclaredField("context");
            f.setAccessible(true);
            org.apache.catalina.core.StandardContext sc = (StandardContext) f.get(ac);
            sc.setUseHttpOnly(true);
        }
        catch (Exception e)
        {
            System.err.print("HttpOnlyConfig cant enable");
            e.printStackTrace();
        }
    }
}
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.