Javaアプリケーションサーバーによって生成された元のWebページを取得し、set-cookieセッションヘッダーを変換して追加のフラグを持つApache構成を作成するにはどうすればよいですか.
すなわち
から
Set-Cookie:JSESSIONID=f232xxx; path=/moedev-wss; secure
に
Set-Cookie:JSESSIONID=f232xxx; path=/moedev-wss; secure; httponly
残念ながら、私が持っている Java コードは簡単に更新できませんが、Apache のヘッダーを変更できれば問題は解決します。
注: 次のモジュールを調査しました。
なぜ私はこれをしたいのですか? 要するに: セキュリティの問題については、件名の OWASP を参照してください。
MOD_SECURITY フレームワークで見つかった回答
上記の質問を残した後、Apache モジュールがどのような助けになるかを考えました。
次に、mod_security でこの情報を検索しました。
Ryan Barnett の優れた記事とルール セットを見つけました。
HTTPOnly フラグを使用して Cookie を保護する
上記のリンクからのルールセット:
# Identifies SessiondIDs without HTTPOnly flag and sets the "http_cookie" ENV
# Token for Apache to read
SecRule RESPONSE_HEADERS:/Set-Cookie2?/ "!(?i:\;? ?httponly;?)" "chain,phase:3,t:none,pass,nolog"
SecRule MATCHED_VAR "(?i:(j?sessionid|(php)?sessid|(asp|jserv|jw)?session[-_]?(id)?|cf(id|token)|sid))" "t:none,setenv:http_cookie=%{matched_var}"
# Now we use the Apache Header directive to set the new data
Header set Set-Cookie "%{http_cookie}e; HTTPOnly" env=http_cookie
Ryan Barnett と mod_security 全般に感謝します。
次に、このソリューションを自分の環境でテストします。