3

環境 :

  1. Jbossを使用したLiferay 6.2

httponly とセキュアを実装しようとしています。

このために、以下のようないくつかの変更を行いました

Portal-ext.properties に追加:

cookie.http.only.names.excludes=

ROOT.war/WEB-INF/web.xml に以下のプロパティを追加

     <session-config>
      <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
      </cookie-config>
     </session-config>

LFR_SESSION_STATE_で始まるものを除いて、すべてのセッション Cookie が httponly であることがわかります。

これをどのように処理できるか、誰でも提案できますか。

4

1 に答える 1

2

LFR_SESSION_STATE_ は、サーバー側ではなくクライアント側で明示的に処理される Cookie です。したがって、これらは本質的に JS を介してのみアクセスされます。私の知る限り、それらはサーバー側で永続化されることさえありません。そして、これらの Cookie から実際にリークが発生することはないと思います。私の認識では、Cookie は「このヘルプ項目を全文で表示するか、折りたたんで表示するか」という品質の状態を判断するためのものです。

于 2016-01-20T05:24:52.450 に答える