0

httpOnlyクライアント側で Cookie が作成されないように、web.xml ファイルでパラメータ true を設定しています。これにより、Cookie の値が読み取られます。次の方法を使用して、GWT で JSESSIONID Cookie を読み取ります。

Cookie.getCookie("JSESSIONID");

これは未定義Httponly=trueを返します.web.xmlの属性を削除すると、正常に機能し、Cookieが返されます。

HttpOnly true で Cookie JSESSIONID Cookie を取得する方法を提案してください。

4

1 に答える 1

2

HttpOnlyあなたがそうであると思うものではありません。その唯一の目的は、Cookie をスクリプトに明示的に公開せ、HTTP レベルでのみ使用するようにブラウザーに指示することです。

クライアントによる Cookie の偽造を防ぐことはできません。いわゆるセッション固定攻撃によるクロスサイト リクエスト フォージェリ (CSRF) を防ぐ方法はいくつかありますが、HttpOnlyその 1 つではありません。HttpOnlyクロスサイト スクリプティング (XSS) に役立つため、ページに悪意のあるサード パーティのスクリプトが含まれている場合、Cookie を読み取ってサード パーティのサーバーに送信することはできません。おそらく、後でセッション固定攻撃に使用するためですが、これは、サイトがそれらに対して脆弱な場合にのみ可能です—.

于 2012-11-30T14:05:06.750 に答える