余歆介绍cookie的两个属性:
1.Cookie的Secure属性,意味着保持Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。如果一个Web服务器从一个非安全连接里设置了一个带有secure属性的Cookie,当Cookie被发送到客户端时,它仍然能通过中间人攻击来拦截。
2.Cookie的HttpOnly属性,指示浏览器不要在除HTTP(和HTTPS)请求之外暴露Cookie。一个有HttpOnly属性的Cookie,不能通过非HTTP方式来访问,例如通过调用JavaScript(例如,引用document.cookie),因此,不可能通过跨域脚本(一种非常普通的攻击技术)来偷走这种Cookie。尤其是Facebook和Google正在广泛地使用HttpOnly属性。
事发原因,某台测试机器上突然发现登陆后报后台错误,进一步发现浏览器请求后端服务时header不会带上cookie参数, 然后发现登陆时返回的响应写入的cookie中带有两个属性,一个是Security=secure,一个是HttpOnly,
测试服务中我们使用的是http协议,而非https,由于secure属性的存在,导致浏览器在与服务器通信时不会使用该cookie.
后面把tomcat/conf/server.xml中有一个secure="true"的配置去掉,正是这个配置影响了cookie的这个属性。
因为我们使用了如下代码去判断当前协议是否https:
if(req.isSecure()){cookie.setSecure(true);}
