探秘Servlet 3.0中的Web安全改进

【独家特稿】Servlet 3.0最为最新的Servlet最新标准，其提供了很多新特性，比如异步请求处理、声明式语法支持等。在这里我们将考察Servlet 3.0安全方面的增强。

网站建设哪家好，找成都创新互联公司！专注于网页设计、网站建设、微信开发、微信小程序开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了和布克赛尔蒙古免费建站欢迎大家使用！

对网站进行跨站攻击最常用的一个手段就是在网页中插入恶意的Html和JavaScript代码。一旦你的网页被增加这些恶意代码，那么就非常容易泄流你的个人信息，比如Cookie。

Cookie作为保留会话状态的手段，经常被用来保存用户登录信息等敏感性数据，但是由于Cookie既可以在服务器端读取，又可以在客户端通过脚本读取，则导致其成为Web应用安全的一个薄弱环节。

在2002年，微软采用了一种被称为“HttpOnly Cookies”的技术，来防止恶意读取Cookie信息。该技术实际并不复杂，只是在Cookie上增加一个额外的属性，在浏览器支持的情况下，如果尝试通过脚本读取Cookie内容，返回结果将为空。现在大多数服务器和客户端都采用的是这种技术，当然浏览对对XMLHttpRequest对象进行了特殊处理。

在Servlet 3.0规范中，Java Servlet开始支持“HttpOnly Cookies”。当使用HttpServletResponse的addCookie方法，向浏览器提供Cookie的时候，可以通过Cookie对象的setHttpOnly方法指定Cookie为HttpOnly。例如：

 
 
 
  
  
  
Cookie cooki=new Cookie("user_name","guandeliang");  
  
  
  
cooki.setMaxAge(60*60*24*365);  
  
  
  
cooki.setPath("/");  
  
  
  
cooki.setHttpOnly(true);  
  
  
  
response.addCookie(cooki);  
 
 

另外，如果希望判断一个Cookie对象是否是HttpOnly，可以通过调用该对象的isHttpOnly()进行判断。

【编辑推荐】

1. 简化Web应用开发 Servlet 3.0特性详解
2. Java EE 6新特性之Servlet 3.0的异步处理
3. Servlet和JSP经验总结
4. 使用Jython编写Servlet
5. WebWork注入Servlet方法详解

当前文章：探秘Servlet 3.0中的Web安全改进
当前链接：http://www.gawzjz.com/qtweb2/news36/1936.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联