我已經爲jboss 5中部署的應用程序(內置於struts和hibernate框架)進行了web掃描,該應用程序報告了「Set-cookie does not use HTTPOnly keyword. The web application does not utilize HTTPOnly cookies
」。這是什麼意思。我找了一些後,只是增加了一個行我Ĵboss/deploy/jbossweb.sar/context.xml
作爲httpOnly cookie
<SessionCookie secure="true" useHttpOnly="true" >
運行應用程序時設置的是,我收到錯誤後。
是否有我缺少的配置?
除了在我的jboss中進行配置之外,應用程序中是否需要配置? – bablu
@bablu,必填?沒有。但是你可以配置一個servlet過濾器,在你的應用程序的每個http響應中插入這個頭文件作爲失敗保護,而不是必需的 – kolossus
在servlet過濾器代碼中,我必須添加String sessionid = request.getSession()。getId (); response.setHeader(「SET-COOKIE」,「JSESSIONID =」+ sessionid +「; HttpOnly」); else request.getSession(false)總是返回null。我不知道爲什麼,但添加這些幾行後,應用程序運行成功。所以我的疑問是 - 這2條線肯定是必需的。這兩行我從https://www.owasp.org/index.php/HttpOnly站點獲得。這裏提到,對於servlet版本<3(在我的情況下爲2.4),這兩行是必需的 – bablu