2008-06-05
cookie.setSecure(true)
关键字: cookie secure
基本上我们所有的 web 安全都是依靠 cookie 维系的,虽然多多少少会有一些方法来保证攻击者不能随便生成一个 cookie,但对于非加密的 HTTP 来说,监听到别人的 cookie 后然后伪造身份是非常容易的事情。
即使用户通过 https 提交用户名/口令,但 cookie 一旦在 http 通道上被传递给服务器,安全隐患就随之而来了。
Set-Cookie 的 secure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。凡是计划采用 HTTPS 来保证用户帐户安全的同志们都要注意对这个参数的使用,搞不好木桶上的最短板就在这里。
即使用户通过 https 提交用户名/口令,但 cookie 一旦在 http 通道上被传递给服务器,安全隐患就随之而来了。
Set-Cookie 的 secure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。凡是计划采用 HTTPS 来保证用户帐户安全的同志们都要注意对这个参数的使用,搞不好木桶上的最短板就在这里。
发表评论
kj2ff
- 浏览: 13002 次
- 性别:
- 来自: 北京
- 详细资料
搜索本博客
我的相册
共 3 张
最近加入圈子
最新评论
-
cas-client-3.1.1的客户端 ...
我按照你的配置怎么都跑不起来,现在很急啊,你实地配成功过没有。另外3.1.1的单 ...
-- by luojunlt -
在frameset中的登陆界面se ...
没看明白什么意思!!o(∩_∩)o...能力问题?
-- by guojingxf -
cas-client-3.1.1的客户端 ...
不是,就是一个spring容器上下文管理的xml文件
-- by kj2ff -
cas-client-3.1.1的客户端 ...
请问下面的casContent.xml是什么文件?acegi的配置文件么?
-- by yangeou -
linux 中文显示乱码解决办 ...
好东西啊,正在找这个,呵呵
-- by flysky9820000
评论排行榜