3

环境 :

  1. Liferay 6.2 与 Jboss

我们正在尝试实现 httponly 和安全。

为此,我们对圆顶进行了一些更改,如下所示

在 Portal-ext.properties 中添加:

cookie.http.only.names.excludes=

在 ROOT.war/WEB-INF/web.xml 中添加了以下属性

     <session-config>
      <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
      </cookie-config>
     </session-config>

我可以看到所有会话 cookie 都是 httponly 除了以LFR_SESSION_STATE_ 开头的

谁能建议我们如何处理这个问题。

4

1 回答 1

2

LFR_SESSION_STATE_ 是在客户端而不是服务器端显式处理的 cookie - 因此它们本质上只能通过 JS 访问。据我所知,它们甚至从未在服务器端持久存在。而且我不希望这些cookies有任何真正的泄漏。在我看来,cookie 是关于确定质量状态“这个帮助项目应该以全文显示还是只是折叠”。

于 2016-01-20T05:24:52.450 回答