使用Set-Cookies安全标志保护Tomcat

本文概述

在Tomcat 6.x中实现HttpOnly和Secure标志
在Tomcat 7.x / 8.x / 9.x中实现
验证

防止Apache Tomcat受到XSS(跨站点脚本)攻击
【使用Set-Cookies安全标志保护Tomcat】根据Microsoft开发人员网络的说明, HttpOnly＆Secure是Set-Cookie HTTP响应标头中包含的附加标志。
在Set-Cookie中使用HttpOnly有助于减轻XSS攻击的最常见风险。
这可以由开发人员在应用程序中完成, 也可以在Tomcat中实施以下操作。
最佳做法是在修改之前备份配置文件, 如果可能的话, 请进行非生产测试以确保它不会破坏应用程序。
让我们看看如何实现这一目标。
在Tomcat 6.x中实现HttpOnly和Secure标志

登录到Tomcat服务器
转到Tomcat安装路径, 然后进入conf文件夹
使用vi编辑器打开context.xml并更新Context部分, 如下所示

useHttpOnly="true"

例如：

文章图片
接下来, 添加一个安全标志。

打开server.xml并在” 连接器端口” 部分中添加以下内容

secure="true"

重新启动Tomcat服务器以测试应用程序

在Tomcat 7.x / 8.x / 9.x中实现

转到Tomcat > > conf文件夹
打开web.xml并在session-config部分中添加以下内容

< cookie-config> < http-only> true< /http-only> < secure> true< /secure> < /cookie-config>

例如：

文章图片

保存文件, 然后重新启动Tomcat进行测试。

验证有多种方法。
如果要测试Intranet应用程序, 则可以使用内置在浏览器中的开发人员工具, 例如Chrome, IE或Firefox。
但是, 如果面向Internet或要在外部进行测试, 则可以使用HTTP Header Checker联机工具。
我希望这会增加Tomcat安全性。在此处了解有关Tomcat管理的更多信息。