探秘Servlet 3.0中的Web安全改进

对网站进行跨站攻击最常用的一个手段就是在网页中插入恶意的Html和JavaScript代码。一旦你的网页被增加这些恶意代码，那么就非常容易泄流你的个人信息，比如Cookie。

Cookie作为保留会话状态的手段，经常被用来保存用户登录信息等敏感性数据，但是由于Cookie既可以在服务器端读取，又可以在客户端通过脚本读取，则导致其成为Web应用安全的一个薄弱环节。

在2002年，微软采用了一种被称为“HttpOnly Cookies”的技术，来防止恶意读取Cookie信息。该技术实际并不复杂，只是在Cookie上增加一个额外的属性，在浏览器支持的情况下，如果尝试通过脚本读取Cookie内容，返回结果将为空。现在大多数服务器和客户端都采用的是这种技术，当然浏览对对XMLHttpRequest对象进行了特殊处理。

在Servlet 3.0规范中，Java Servlet开始支持“HttpOnly Cookies”。当使用HttpServletResponse的addCookie方法，向浏览器提供Cookie的时候，可以通过Cookie对象的setHttpOnly方法指定Cookie为HttpOnly。例如：