首页 > 代码库 > JAVA设置HttpOnly Cookies

JAVA设置HttpOnly Cookies

HttpOnly Cookies是一个cookie安全行的解决方案。

在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。

 

但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法,所以如果需要设置HttpOnly属性需要自己来处理。

 

import javax.servlet.http.Cookie;import javax.servlet.http.HttpServletResponse;/** * Cookie工具类 */public class CookieUtil {    /**     * 设置HttpOnly Cookie     * @param response HTTP响应     * @param cookie Cookie对象     * @param isHTTPOnly 是否为HttpOnly     */    public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) {        String name = cookie.getName();//Cookie名称        String value = http://www.mamicode.com/cookie.getValue();//Cookie值        int maxAge = cookie.getMaxAge();//最大生存时间(毫秒,0代表删除,-1代表与浏览器会话一致)        String path = cookie.getPath();//路径        String domain = cookie.getDomain();//        boolean isSecure = cookie.getSecure();//是否为安全协议信息         StringBuilder buffer = new StringBuilder();        buffer.append(name + "=" + value + ";");        if (maxAge == 0) {            buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;");        } else if (maxAge > 0) {            buffer.append("Max-Age=" + cookie.getMaxAge() + ";");        }        if (domain != null) {            buffer.append("domain=" + domain + ";");        }        if (path != null) {            buffer.append("path=" + path + ";");        }        if (isSecure) {            buffer.append("secure;");        }        if (isHttpOnly) {            buffer.append("HTTPOnly;");        }        response.addHeader("Set-Cookie", buffer.toString());    }}

 

值得一提的是,Java EE 6.0 中 Cookie已经可以设置HttpOnly了,所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7),可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly: 

cookie.setHttpOnly(true);

 

JAVA设置HttpOnly Cookies