「」を報告したjboss5にデプロイされたアプリケーション(strutsおよびhibernateフレームワークに組み込まれている)のWebスキャンを実行しましたSet-cookie does not use HTTPOnly keyword. The web application does not utilize HTTPOnly cookies。どういう意味ですか。投稿を探して、jに1行追加しましたboss/deploy/jbossweb.sar/context.xml。
<SessionCookie secure="true" useHttpOnly="true" >
それを設定した後、アプリケーションの実行中にエラーが発生します。
不足している構成はありますか?
これを試して:
<SessionCookie secure="true" httpOnly="true" />
どういう意味ですか
http応答ヘッダーのHttpOnlyフラグは、JSESSION_IDまたは他のセッションCookieタイプ識別子へのクライアント側のアクセスを許可してはならないことをブラウザに示します。これが防止することを目的としているのは、 XSSのクライアント側スクリプトを介したセッショントークンへの悪意のあるアクセス(またはクライアント側からのセッションハイジャックを伴うその他の攻撃)です。現在、ほとんどすべての主要なブラウザがこのフラグをサポートしています(サポートするブラウザについては、このリストを参照してください)が、サポートしていないブラウザでは単に無視されます。OWASPサイトでこれに関する詳細を参照してください
設定は、コンテキストファイルに以下を含めることにより、JBossを含むTomcatとそのフォークの場合と同様です。
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
また
<SessionCookie secure="true" httpOnly="true" />