3

sign.jsp、私は次のように書いています。これにより、ユーザーがすでにログインしている場合は、すぐにそのユーザーに転送されます。home page

<%
try{

HttpSession session1 = request.getSession(false);

if(session1.getAttribute("authenticated")!=null &&  
 session1.getAttribute("authenticated").equals(true))
{
response.sendRedirect("userhome.jsp");
}
else{

// users have to login here
}
%>

セキュリティスキャンはでそれを伝えてMissing HttpOnly Attribute in Session Cookiesign.jspます。

私が設定する場合: <Context useHttpOnly="true"> ... </Context>

の :C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

その後、私の問題は解決されますか、それとも他に何をしなければなりませんか?どんな提案でも大歓迎です

4

3 に答える 3

4

Servlet 3.0 を使用している場合。サーブレット 3.0 (Java EE 6) よりも、web.xml で次の構成を適用して、セッション cookie の HttpOnly 属性を構成する標準的な方法が導入されました。

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
<session-config>
于 2012-03-23T08:18:30.677 に答える
1

別のアプローチは

Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setHttpOnly(true);
httpResponse.addCookie(cookie);
于 2012-05-02T20:51:11.363 に答える