【51CTO獨家特稿】Servlet 3.0最為最新的Servlet最新標準，其提供了很多新特性，比如異步請求處理、聲明式語法支持等。在這里我們將考察Servlet 3.0安全方面的增強。

對網(wǎng)站進行跨站攻擊最常用的一個手段就是在網(wǎng)頁中插入惡意的Html和JavaScript代碼。一旦你的網(wǎng)頁被增加這些惡意代碼，那么就非常容易泄流你的個人信息，比如Cookie。

Cookie作為保留會話狀態(tài)的手段，經(jīng)常被用來保存用戶登錄信息等敏感性數(shù)據(jù)，但是由于Cookie既可以在服務器端讀取，又可以在客戶端通過腳本讀取，則導致其成為Web應用安全的一個薄弱環(huán)節(jié)。

在2002年，微軟采用了一種被稱為“HttpOnly Cookies”的技術，來防止惡意讀取Cookie信息。該技術實際并不復雜，只是在Cookie上增加一個額外的屬性，在瀏覽器支持的情況下，如果嘗試通過腳本讀取Cookie內容，返回結果將為空。現(xiàn)在大多數(shù)服務器和客戶端都采用的是這種技術，當然瀏覽對對XMLHttpRequest對象進行了特殊處理。

在Servlet 3.0規(guī)范中，Java Servlet開始支持“HttpOnly Cookies”。當使用HttpServletResponse的addCookie方法，向瀏覽器提供Cookie的時候，可以通過Cookie對象的setHttpOnly方法指定Cookie為HttpOnly。例如：

Cookie cooki=new Cookie("user_name","guandeliang");  
cooki.setMaxAge(60*60*24*365);  
cooki.setPath("/");  
cooki.setHttpOnly(true);  
response.addCookie(cooki);  

另外，如果希望判斷一個Cookie對象是否是HttpOnly，可以通過調用該對象的isHttpOnly()進行判斷。

【編輯推薦】

1. 簡化Web應用開發(fā) Servlet 3.0特性詳解
2. Java EE 6新特性之Servlet 3.0的異步處理
3. Servlet和JSP經(jīng)驗總結
4. 使用Jython編寫Servlet
5. WebWork注入Servlet方法詳解