Wie konfigurieren Sie den HttpOnly-cookies im tomcat / java-webapps?

Nach der Lektüre von Jeff ' s blog-post auf Schützen Sie Ihre Cookies HttpOnly. Ich würde gerne umsetzen HttpOnly-cookies in meinem web-Anwendung.

Wie sagen Sie tomcat verwenden nur http cookies für sessions?

InformationsquelleAutor ScArcher2 | 2008-08-28
  1. 61

    httpOnly unterstützt der Tomcat-6.0.19 und Tomcat 5.5.28.

    Sehen die changelog Eintrag für bug-44382.

    Den letzten Kommentar zum bug Vier und vierzig tausend drei hundert zwei und achtzig Staaten, "diese wurde angewandt, um 5.5.x und in 5.5.28 ab." Jedoch erscheint es nicht, dass 5.5.28 veröffentlicht wurde.

    Das httpOnly-Funktionalität aktiviert werden kann, der für alle webapps in conf/context.xml:

    <Context useHttpOnly="true">
...
</Context>

    Meine interpretation ist, dass es funktioniert auch für einen individuellen Kontext, indem es auf die gewünschte Kontext Eintrag in conf/server.xml (in der gleichen Weise, wie oben).

    • Ich bin mit Tomcat 5.5.36. Diese useHttpOnly Attribut scheint zu funktionieren nur für JSESSIONID cookie. Ich fügte hinzu, diese Flagge auf alle meine Kontexten, um sicherzustellen, dass alle cookies würde Hinzugefügt werden, die "; HttpOnly" am Ende. Allerdings nur JSESSIONID betroffen war wie folgt: Set-Cookie= JSESSIONID=25E8F...; Path=/custompath; HttpOnly mycustomcookie1=xxxxxxx; Path=/ mycustomcookie2=1351101062602; Path=/ mycustomcookie3=0; Path=/ mycustomcookie4=1; Path=/; Secure mycustomcookie5=4000; Expires=Sat, 22-Oct-2022 17:51:02 GMT; Path=/ alles, was ich falsch mache?
    • Diese Dokumentation scheint zu zeigen, dass die useHttpOnly flag betrifft nur die session-id-cookie: tomcat.apache.org/tomcat-5.5-doc/config/... ich denke, das war eine Notlösung dient dem Schutz der session-cookie. Die Fähigkeit Kennzeichnen, die cookies als HttpOnly war nicht Teil der Servlet-Spezifikation bis zu 3.0 (unter Tomcat 7): today.java.net/pub/a/today/2008/10/14/...
    InformationsquelleAutor jt.
  2. 19

    Update: JSESSIONID Zeug hier ist
    nur für ältere Container. Nutzen Sie bitte
    jt ist momentan akzeptierte Antwort, es sei denn,
    Sie sind mit < Tomcat 6.0.19 oder < Tomcat
    5.5.28 oder einen anderen Behälter, die nicht unterstützt HttpOnly JSESSIONID cookies als config option.

    Wenn das setzen von cookies in Ihrer app verwenden

    response.setHeader( "Set-Cookie", "name=value; HttpOnly");

    Jedoch in vielen webapps, die wichtigsten cookie wird die session-id, die automatisch durch den container als JSESSIONID cookie.

    Wenn Sie nur verwenden dieses cookie, können Sie schreiben einen ServletFilter zur re-legen Sie die cookies auf dem Weg nach draußen, zwingt JSESSIONID zum HttpOnly. Auf der Seite im http://keepitlocked.net/archive/2007/11/05/java-and-httponly.aspx http://alexsmolen.com/blog/?p=16 schlägt das hinzufügen des folgenden in einem filter.

    if (response.containsHeader( "SET-COOKIE" )) {
  String sessionid = request.getSession().getId();
  response.setHeader( "SET-COOKIE", "JSESSIONID=" + sessionid 
                      + ";Path=/<whatever>; Secure; HttpOnly" );
}

    aber beachten Sie, dass dieser Befehl überschreibt alle cookies und nur einstellen, was Sie hier angeben, in dieser filter.

    Wenn Sie verwenden weitere cookies, um das JSESSIONID-cookie, dann wirst du verlängern müssen Sie diesen code, um alle cookies in den filter. Das ist keine tolle Lösung, im Fall von multiple-cookies, aber ist vielleicht eine akzeptable quick-fix für das JSESSIONID-nur setup.

    Bitte beachten Sie, dass der code im Laufe der Zeit entwickelt, es gibt eine böse versteckte Fehler warten, wenn Sie vergessen, über diese filter und versuchen Sie es und legen Sie noch ein Plätzchen irgendwo in Ihrem code. Natürlich, es wird nicht festgelegt.

    Dies ist wirklich ein hack, aber. Wenn Sie Tomcat verwenden und zusammenstellen kann, dann werfen Sie einen Blick auf Shabaz ausgezeichneten Vorschlag zu patch HttpOnly Unterstützung in Tomcat.

    • Dieser code entfernt die ;Secure-flag, so dass die Verwendung von https sinnlos.
    • In Servlet 3.0-Beschwerde in Anwendung-Server kann ich einstellen, die HttpOnly und secure-flags für das session-cookie (JSESSIONID) durch hinzufügen des folgenden in die web.xml: <session-config> <cookie-config> <sicher>true</secure> <http>true</http-only> </cookie-config> </session-config>
    • bitte diesen post als neue Antwort, das 6-jährige Antwort ist immer out-of-date.
    • Seien Sie vorsichtig mit setHeader weil es löscht alle vorherigen Kopfzeilen mit dem selben Namen. Zum Beispiel können Sie Sie löschen Sie das JSESSIONID-cookie, wenn Sie eine benutzerdefinierte cookie. Verwenden Sie stattdessen Antwort.addHeader() für eigene cookies
    InformationsquelleAutor Cheekysoft
  3. 14

    Bitte seien Sie vorsichtig, nicht zu überschreiben ";secure" cookie-flag in https-Sitzungen. Dieses flag verhindert, dass der browser sendet die cookie werden über eine unverschlüsselte http-Verbindung, die im Grunde die Darstellung der Verwendung von https für legitime Anfragen sinnlos.

    private void rewriteCookieToHeader(HttpServletRequest request, HttpServletResponse response) {
    if (response.containsHeader("SET-COOKIE")) {
        String sessionid = request.getSession().getId();
        String contextPath = request.getContextPath();
        String secure = "";
        if (request.isSecure()) {
            secure = "; Secure"; 
        }
        response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid
                         + "; Path=" + contextPath + "; HttpOnly" + secure);
    }
}
    • Beachten Sie, dass die Verwendung request.isSecure() ist nicht immer richtig. Betrachten Sie eine Lastenausgleichs-Knoten hinter der LB führt, dass die SSL-Beschleunigung. Die Anfrage vom browser an den load balancer wird über HTTPS, während die Anforderung zwischen load-balancer und den eigentlichen server kommen über plain HTTP. Dies wird im Ergebnis request.isSecure() wird false, während der browser mit SSL.
    InformationsquelleAutor Hendrik Brummermann
  4. 9

    Für session-cookies, es scheint nicht unterstützt zu werden in der Tomcat noch nicht. Siehe bug-report Hinzufügen der Unterstützung für HTTPOnly-session-cookie parameter. Eine etwas beteiligt zu arbeiten, um für jetzt finden hier, die im Grunde läuft manuell zu patchen Tomcat. Kann nicht wirklich einen einfachen Weg finden, es zu tun in diesem moment an diesem Punkt bin ich affraid.

    Zusammenfassung der work-around geht es um den Download der 5.5 Quelle, und ändern Sie dann die Quelle in der folgenden Orte:

    org.apache.catalina.connector.Request.java

    //this is what needs to be changed
//response.addCookieInternal(cookie);

//this is whats new
response.addCookieInternal(cookie, true);
}

    org.apache.catalina.connectorResponse.addCookieInternal

    public void addCookieInternal(final Cookie cookie) {
addCookieInternal(cookie, false);
}

public void addCookieInternal(final Cookie cookie, boolean HTTPOnly) {

if (isCommitted())
return;

final StringBuffer sb = new StringBuffer();
//web application code can receive a IllegalArgumentException
//from the appendCookieValue invokation
if (SecurityUtil.isPackageProtectionEnabled()) {
AccessController.doPrivileged(new PrivilegedAction() {
public Object run(){
ServerCookie.appendCookieValue
(sb, cookie.getVersion(), cookie.getName(),
cookie.getValue(), cookie.getPath(),
cookie.getDomain(), cookie.getComment(),
cookie.getMaxAge(), cookie.getSecure());
return null;
}
});
} else {
ServerCookie.appendCookieValue
(sb, cookie.getVersion(), cookie.getName(), cookie.getValue(),
cookie.getPath(), cookie.getDomain(), cookie.getComment(),
cookie.getMaxAge(), cookie.getSecure());
}
//of course, we really need to modify ServerCookie
//but this is the general idea
if (HTTPOnly) {
sb.append("; HttpOnly");
}

//if we reached here, no exception, cookie is valid
//the header name is Set-Cookie for both "old" and v.1 ( RFC2109 )
//RFC2965 is not supported by browsers and the Servlet spec
//asks for 2109.
addHeader("Set-Cookie", sb.toString());

cookies.add(cookie);
}
    InformationsquelleAutor Shabaz
  5. 9

    Wenn Ihr web-server unterstützt Serlvet 3.0-Spezifikation, wie tomcat 7.0+, die Sie verwenden können unten in web.xml als:

    <session-config>
  <cookie-config>
     <http-only>true</http-only>        
     <secure>true</secure>        
  </cookie-config>
</session-config>

    Wie bereits in docs:

    HttpOnly: Legt fest, ob ein session-tracking cookies erstellt
    diese web-Anwendung als solche gekennzeichnet werden HttpOnly

    Sichere: Gibt An,
    ob jeder session tracking cookies von dieser web-Anwendung
    markiert als sicher, selbst wenn die Anfrage ausgelöst hat, die
    entsprechende Sitzung ist mit plain-HTTP-statt HTTPS -

    Entnehmen Sie bitte wie setzen httponly-und session-cookie für java-web-Anwendung

    InformationsquelleAutor Alireza Fattahi
  6. 2

    es sollte auch darauf hingewiesen werden, dass ein einschalten HttpOnly brechen applets erfordern stateful-Zugang zurück auf die jvm.

    das Applet http-Anfragen wird nicht die jsessionid cookie und kann zugewiesen werden, um eine andere tomcat.

    InformationsquelleAutor Pete Brumm
  7. 2

    Für cookies dass ich explizit einstellen, ich wechselte zu verwenden SimpleCookie zur Verfügung gestellt von Apache Shiro. Es nicht erbt von javax.- servlet.http.Cookie, so dass es erfordert ein wenig jonglieren, um alles einwandfrei zu arbeiten, jedoch bietet es eine Eigenschaft HttpOnly set und es funktioniert mit Servlet 2.5.

    Für das setzen eines Cookies auf eine Antwort, anstatt response.addCookie(cookie) Sie tun müssen cookie.saveTo(request, response).

    InformationsquelleAutor Jesse Vogt
  8. 1

    In Tomcat6, kann Man bedingt aktivieren von HTTP-Listener-Klasse:

    public void contextInitialized(ServletContextEvent event) {                 
   if (Boolean.getBoolean("HTTP_ONLY_SESSION")) HttpOnlyConfig.enable(event);
}

    Verwendung dieser Klasse

    import java.lang.reflect.Field;
import javax.servlet.ServletContext;
import javax.servlet.ServletContextEvent;
import org.apache.catalina.core.StandardContext;
public class HttpOnlyConfig
{
    public static void enable(ServletContextEvent event)
    {
        ServletContext servletContext = event.getServletContext();
        Field f;
        try
        { //WARNING TOMCAT6 SPECIFIC!!
            f = servletContext.getClass().getDeclaredField("context");
            f.setAccessible(true);
            org.apache.catalina.core.ApplicationContext ac = (org.apache.catalina.core.ApplicationContext) f.get(servletContext);
            f = ac.getClass().getDeclaredField("context");
            f.setAccessible(true);
            org.apache.catalina.core.StandardContext sc = (StandardContext) f.get(ac);
            sc.setUseHttpOnly(true);
        }
        catch (Exception e)
        {
            System.err.print("HttpOnlyConfig cant enable");
            e.printStackTrace();
        }
    }
}
    InformationsquelleAutor Systemsplanet
  9. 0

    Fand ich in OWASP

    <session-config>
  <cookie-config>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

    dies ist auch fix für "httponlycookies in der config" security Problem

    InformationsquelleAutor Ravipati Praveen
Schreibe einen Kommentar