我已经对部署在 jboss 5 中的应用程序(内置 struts 和休眠框架)进行了网络扫描,报告了“ Set-cookie does not use HTTPOnly keyword. The web application does not utilize HTTPOnly cookies”。这是什么意思。boss/deploy/jbossweb.sar/context.xml我找了一些帖子,只是在我的 j中添加了一行
<SessionCookie secure="true" useHttpOnly="true" >
设置后,我在运行应用程序时遇到错误。
有没有我遗漏的配置?
尝试这个:
<SessionCookie secure="true" httpOnly="true" />
这是什么意思
http 响应标头中的标志向浏览器指示不应允许HttpOnly客户端访问该或其他会话 cookie 类型标识符。JSESSION_ID这是为了防止通过XSS中的客户端脚本恶意访问会话令牌(或其他涉及从客户端劫持会话的攻击)。目前几乎所有主流浏览器都支持这个标志(查看支持浏览器列表),但在不支持它的浏览器中它会被忽略。在OWASP 网站上查看更多信息
通过在上下文文件中包含以下内容,对 tomcat 及其分支(包括 Jboss)的设置类似:
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
或者
<SessionCookie secure="true" httpOnly="true" />