开发者社区安全文章正文

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法

2014-06-28 8197

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

问题描述：

原因分析：

服务器开启了Https时，cookie的Secure属性应设为true；

解决办法：

1.服务器配置Https SSL方式，参考：https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config，添加:

< system.web >
< httpCookies httpOnlyCookies = "true" requireSSL = "true" / >
< system.web >

See: http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

3.修改后台写Cookies时的设置 cookie.Secure = true：

HttpResponse response = HttpContext.Current.Response;

var cookie = new HttpCookie(key, value);

cookie.HttpOnly = true;

cookie.Path = "/";

cookie.Expires = DateTime.Now.AddHours(1);

cookie.Secure = true;

response.AppendCookie(cookie);

参考网站：http://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie

文章标签：

密钥管理服务

网络安全

数据安全/隐私保护

安全

关键词：

会话cookie

安全密钥管理服务

安全SSL

密钥管理服务安全

SSL secure

清山

凉凉心.

4月前

JSON JavaScript Java

【GoGin】（4）会话控制与参数验证：Cookie使用、Sessions使用、结构体验证参数、自定义验证参数

1. Cookie介绍 HTTP是无状态协议，服务器不能记录浏览器的访问状态，也就是说服务器不能区分两次请求是否由同一个客户端发出 Cookie就是解决HTTP协议无状态的方案之一，中文是小甜饼的意思 Cookie实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后，每次向服务器发送请求时都会同时将该信息发送给服务器，服务器收到请求后，就可以根据该信息处理请求 Cookie由服务器创建，并发送给浏览器，最终由浏览器保存

凉凉心.

257 5 5

星兽

7月前

存储安全

Cookie会话跟踪的原理？

会话跟踪常用方案包括Cookie、Session和令牌技术。Cookie是客户端跟踪方式，存储在浏览器中。首次访问服务器时，服务器通过Set-Cookie响应头发送Cookie，浏览器将其保存。后续请求中，浏览器自动在请求头Cookie中携带该值，实现会话识别。但因Cookie存于客户端，用户可修改或禁用，安全性较低。

星兽

293 0 0

aliyun4671058803-14375

存储编解码应用服务中间件

会话跟踪技术(Session 以及Cookie)

aliyun4671058803-14375

237 1 1

WangBai

存储安全

Cookie会话跟踪的原理

会话跟踪技术包括Cookie和Session。Cookie是客户端技术，首次访问时服务器通过Set-Cookie响应头发送Cookie，浏览器保存并在后续请求中通过Cookie请求头回传，实现会话跟踪。但Cookie易被用户修改或禁用，安全性较低。Session则是服务器端技术，每次会话生成唯一的Session ID，通过Cookie传递给客户端，客户端在后续请求中携带此ID，服务器据此识别会话。Session更安全，但在集群环境中需解决会话共享问题。

WangBai

466 1 1

杀死一只知更鸟debug

存储缓存数据处理

php学习笔记-php会话控制，cookie,session的使用，cookie自动登录和session 图书上传信息添加和修改例子-day07

本文介绍了PHP会话控制及Web常用的预定义变量，包括`$_REQUEST`、`$_SERVER`、`$_COOKIE`和`$_SESSION`的用法和示例。涵盖了cookie的创建、使用、删除以及session的工作原理和使用，并通过图书上传的例子演示了session在实际应用中的使用。

杀死一只知更鸟debug

292 2 2

php学习笔记-php会话控制，cookie,session的使用，cookie自动登录和session 图书上传信息添加和修改例子-day07

程序员小海绵

存储前端开发 Java

JavaWeb基础7——会话技术Cookie&Session

会话技术、Cookie的发送和获取、存活时间、Session钝化与活化、销毁、用户登录注册“记住我”和“验证码”案例

程序员小海绵

389 1 1

土木林森

【8月更文挑战第24天】本文以问答形式深入探讨了Web开发中关键的会话管理技术——Cookie与Session。首先解释了两者的基本概念及工作原理，随后对比分析了它们在存储位置、安全性及容量上的差异。接着，通过示例代码详细介绍了如何在JavaWeb环境中实现Cookie与Session的操作，包括创建与读取过程。最后，针对不同应用场景提供了选择使用Cookie或Session的指导建议，并提出了保障二者安全性的措施。阅读本文可帮助开发者更好地理解并应用这两种技术。

土木林森

340 1 1

rookie1940

JavaScript 数据安全/隐私保护

马蜂窝 cookie 加密（加速乐）

本文介绍了一次针对马蜂窝网站的逆向工程过程，旨在学习交流，不提供完整代码及敏感信息。文中详细描述了三次GET请求的过程，通过抓包工具分析了请求头和响应内容，并逐步解析了`cookie`参数的生成方法。最终通过携带特定`cookie`成功获取页面内容。严禁将本文内容用于非法或商业用途，违者自行承担一切后果。未经许可不得转载或修改后传播。

rookie1940

499 0 0

toddli

数据采集 JavaScript 前端开发

同花顺股票数据逆向：Cookie加密和Hook注入

toddli

2048 0 2

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法

热门文章

最新文章

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性 处理办法

热门文章

最新文章

相关电子书

IBM AppScan 安全扫描：加密会话（SSL）Cookie 中缺少 Secure 属性处理办法