问题标签 [httponly]

我想以这样一种方式配置我的 grails 项目，即使用 httpOnly 标志设置会话 cookie。

据我了解，这是 web.xml 或 context.xml 文件中的配置。但是如何在我的 grails 项目中设置它？

我正在使用各种技术开发 Web 服务应用程序，例如：

服务器端的 Ruby on Rails Javascript、HTML5、Objective-C、移动端的 Java

在我更新我的 Safari 浏览器之前，我在开发应用程序时没有遇到任何问题。我实际上运行：

版本 5.1.1 (7534.51.22)

我正在使用Sencha Touch Framework 开发移动应用程序。当 js 应用程序由 phonegap 包装时，它工作得很好，但是现在，当我使用 protocole file:// 在 safari 中开发时，我的 cookie 没有保存。

在我更新我的 Safari 版本之前，每次我发出请求时，cookie 都会被保存并正确发送到服务器。

重现：

A. 在 safari 窗口中打开 index.html 文件：

文件：//~/project/myapp/index.html

B.XHR 使用 http://localhost:3000/sign_in 到服务器

C. 您从服务器获取 cookie 和正确的成功代码

D. 您尝试使用以下方法获取其他信息

http://localhost:3000/users/1

你得到：401 Unauthorized。

好吧，服务器没有改变，只有 safari 更新了。什么是正确的方法。当然，当我为 iOS、黑莓或 Android 构建应用程序时，它也能正常工作。

谢谢 ！

我正在尝试关闭 httponly 以在 phonegap 中使用。我正在使用 rails 3.1 并设计，其中每个都报告了（但未记录）这样做的方法，但都没有工作：

为了测试，我重新启动了服务器，删除了现有的 cookie，然后重新加载了页面。'Http' 列仍在 chrome 调试器中检查。

帮助！

在启用了 HTTPOnlyCookies 设置的 Websphere 6.1.0.31 下运行的应用程序存在问题。问题在于通过 HttpURLConnection 与 Servlet 建立连接的 Applet。Applet 通过参数从 JSP 页面传递 JSESSION ID。在 HttpURLConnect 调用中，我们设置 Cookie 标头并包含 JSESSION ID。Servlet 不使用传递的 cookie 并将创建一个新会话并导致错误。禁用 HTTPOnlyCookies 后，它可以正常工作而不会出现任何错误。设置为 (com.ibm.ws.webcontainer.HTTPOnlyCookies=*)。

下面是更改的代码，以显示我们如何执行此任务。我只更改了代码以删除与项目相关的任何信息，因为这是在生产软件中。

下面是我在小程序的 Java 控制台跟踪文件中看到的错误。再次只更改小信息，我还在 WASReqURL 中注意到它没有“主机名”

感谢您的帮助，请让我知道您可能需要帮助的任何进一步信息。我根本找不到任何有帮助的东西。

_添加更多细节

在生产中，该行 (httpConn.setRequestProperty("Cookie", "JSESSIONID="+sessionId); ) 甚至不存在，并且该过程运行良好。但是我们的客户想要在他们的 Websphere 上启用 httpOnly 设置，但是遇到了无法正常工作的小程序。我可能已经找到了通过会话不起作用的原因。在查看 cookie 标头时，我注意到标头中的 JSESSIONID 与设置为小程序参数的不同。调查后我发现了有关集群环境的 JSESSIONID 格式的信息。https://www.ibm.com/developerworks/mydeveloperworks/blogs/Dougclectica/entry/websphere_session_ids22?lang=en，即CacheID+SessionID+:+CloneID。我正在尝试找出如何在 JSP 页面中获取这些值。

如果我已经为我的应用服务器设置了 SSL，我还需要为 cookie 设置 HttpOnly 吗？

在 Servlet 3.0 投诉应用程序服务器中，我可以通过将以下内容添加到 web.xml 来设置会话 cookie (JSESSIONID) 的 HttpOnly 和安全标志：

但是，我正在处理的应用程序将部署在 Websphere 7 中，这是 Servlet 2.5 投诉，如果我将上述内容添加到 web.xml 中，它将无法启动

Websphere 7 配置中是否有任何其他声明方式或设置来打开会话 cookie 的 HttpOnly 和安全标志？

如果不是，那么以编程方式实现这一目标的最佳方法是什么？

正如问题所说，如果 cookie 是 HttpOnly，您能否找出 Javascript 中是否存在 cookie？我不需要访问其中的信息，只知道它有一个。

关于这种情况的更多信息是，最初有一个使用 cookie 作为身份验证令牌的 Web 服务器，并且由于客户端不使用它而将其设置为 httponly，因此它增加了安全性。

但是，现在需要进行更改，客户端需要知道它是否具有 cookie（因为该站点可以在没有用户登录的情况下工作，但如果他们已登录（身份验证 cookie 将存在）该站点需要显示某些东西和隐藏别人。

Web 服务器上还有其他安全预防措施，因此在客户端具有不正确的身份验证 cookie 的情况下没有任何危害，但该站点使其看起来像他们已登录，因为它会删除 cookie 并拒绝用户.

我将构建我的第一个移动网络应用程序，我发现 Android 2.3 的浏览器没有实现 httponly。

有哪些技术可以缓解这个问题？这是一个失败的原因吗？

我正在编写一个“记住我的用户名”Cookie，该 Cookie 在自定义持续时间（例如一个月）内到期。我注意到当我添加 HttpOnly = true 时，过期更改为会话。为什么是这样？我似乎找不到任何关于为什么会发生这种情况的文档。

谢谢。

在sign.jsp，我写了以下内容，这样，如果用户已经登录，那么他会立即被转发到他的home page

安全扫描Missing HttpOnly Attribute in Session Cookie在sign.jsp.

如果我要设置： <Context useHttpOnly="true"> ... </Context>

在 ：C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

那么我的问题会得到解决还是我还需要做什么？非常感谢任何建议