問題タブ [cookie-httponly]

cookie_httponlyPHPでオプションを設定した場合、フラッシュで問題が発生しますか？

FlashはまだセッションでPOSTリクエストを送信しますか？

それは簡単に試すことができるものだと思いますが、Flashについてはよくわからないので、何かが壊れるのではないかと心配しています。

だから私はphp 4にあるこのレガシーアプリケーションを使用しています.httponlyフラグとセキュアフラグを設定しようとしています。

これは私のコードです:

secure フラグはオンに設定されていますが、httponly は設定されていません。

URL が https プロトコルを使用しているためでしょうか?

編集: また、有効期限フィールドには数秒かかりますか。今、$expireSeconds=14400; パラメータとして秒数を想定していない場合、コードを修正してこれを修正するにはどうすればよいですか。

これは、Cookie を設定する関数です。

私はサーブレット 3.0 を信じています。これを直接行う方法があります。残念ながら、私の組織は 2.5 を使用しており、現時点でのアップグレードはオプションではありません。

応答を使用して Cookie を設定する方法はありますか? これは私がオンラインで見つけた例です

これが私が望むことを行う唯一の方法である場合、関数が現在 Cookie に保存しているデータを失わないように、「[SOME STUFF]」を何に置き換えますか?

JBOSS5 および 6 で次の手順を使用しましたが、これらは JBOSS 7 には適用されません。

jboss7の解決策を見つけたので、http-onlyタグをweb.xmlのセッション構成に追加します

私が理解しているように、それはアプリケーション レベルの web.xml の構成に関するものです。では、JBOSS インスタンス全体の Cookie 保護の設定を行うにはどうすればよいでしょうか? JBOSS56 でセッション Cookie のグローバル設定を許可するのは良い考えでした。この機能は JBOSS7 にはありませんか? この質問は、StackOverflow で繰り返される可能性があります。しかし、私はそれらの答えを適切に明確にすることができませんでした。

私がオンラインで読んだすべてのものから、このような web.config は、ASP.NET 2.0 で HttpOnly Cookie を有効にする必要があります。ただし、これは機能していません。

私が見逃しているものは他にありますか？この件に関する多くの投稿を見てきましたが、Cookie は HttpOnly として表示されません (または、requireSSL="true" をタグに追加すると安全になります)。

IIS 7.0 を使用しています。

編集：

すべての Cookie をカバーするために、ルート レベルの web.config でこれを設定しようとしています。ASPページのFirebugのCookieと、一部の「HttpOnly」が空であることを示す緑色のテキストが表示される「HttpOnly」セクションを見ています。

例：

この SO 投稿を読んだ後、私も ASPSESSIONID[random-string-here] Cookie をクラシック ASP ページの HttpOnly に設定する必要があります。しかし、IIS 5.

それで、私のオプションは何ですか？私はこれらの Cookie を生成していません。自動生成されているようです。変更できる IIS 5、グローバル、web.config 設定はありますか?

現在認証されているユーザーの資格情報を保存するために http のみの Cookie を使用する js クライアント アプリケーションがあります。アプリケーションは、Cookie 内のデータを使用して、要求ごとの認証を実行します。

ただし、アプリケーションは残念ながら Cookie を含まない ajax リクエストを作成します。サーバーがこれらのリクエストを処理するようになると、Cookie がないと見なされるため、認証されたユーザーは存在せず、ログイン ページへのリダイレクトが実行されます。それでも、Cookie は存在し、すべての標準的な http 要求は期待どおりに機能します。

この問題の簡単な回避策はありますか? そのようなシナリオで推奨される方法は何ですか?

序文：

私はWindowsPhone8アプリケーションを作成していますが、モジュールの1つがリモートサーバーを介した通信を担当しています。

HttpWebRequestとHttpWebRequestを使用してGETメソッドとPOSTメソッドを使用しています。

また、WP8アプリからHTTPのみのCookieにアクセスできないこと、つまり、Cookieを取得、設定、または表示することさえできないことを知って驚いた。

ご存知かもしれませんが、サーバーから応答を受け取ると、CookieCollectionタイプのCookiesプロパティは空のように見えますが、コンソールアプリケーションから同じコードを使用すると、Cookieとその内容を確認できます。これはセッションIDです。

私はその問題を克服する方法についてフォーラムで何時間も何日も無駄にしました、そして私が関連すると思った解決策は単に新しいCookieContainerを作成し、それを私がしているすべてのリクエストに添付することでした。

このソリューションは機能しましたが、他の目的で実際にセッションIDを取得する必要がある段階になりました。WebBrowserコントロールを使用するなど、サーバーからリソースをアタッチする必要がありますが、それが唯一の方法です。セッションIDも添付することで機能します...だから私は本当にクッキーの値を取得する必要があります。

現在、WebBrowserの問題を除いて、すべてが正常に機能していますが、私が一緒に仕事をしている人たちは、次のステップで他の目的のためにセッションIDを持っている必要があると言いました。

リフレクションとC++アンマネージコードの追加を通じて、あらゆる種類のソリューションを試しましたが、何も機能しませんでした。

これが不可能であると私には合理的に聞こえません...

誰かがこの問題を解決し、実際にこれのための実用的なコードを持っていますか？

私は本当に必死です、助けてくれてありがとう。

アプリケーションのセッション cookie に httpOnly 属性を有効にしたい。私たちはservlet-api 2.5バージョンとweb.xmlを2.5として使用しています..今、web.xmlに以下のコードを追加しようとしました

でエラー解析エラーが発生しweb.xmlました<cookie-config>

これについて助けてください..サーブレットのバージョンを3に、web.xmlも3に更新する必要がありますか...

またはJavaコード自体で書く他の方法..私たちはjboss 5バージョンを使用しています..

html5 オーディオ タグを介していくつかの mp3 ファイルを再生しようとしています。デスクトップの場合、これは (Chrome で) うまく機能しますが、モバイル ブラウザー (Chrome (Android の場合) も) になると、いくつかの問題があるようです。

いくつかのパスワードでストリームを保護したため、ストリーミング サーバーは特別な認証 Cookie (spring security remember-me) を見つける必要があります。しかし、どういうわけか、モバイル ブラウザは、オーディオ タグを介して mp3 ストリームにアクセスするときに、この Cookie を送信しません。ストリームの URL をアドレス バーに直接入力すると、すべて問題なく動作します。

失われた Cookie を検索しているときに、モバイル ブラウザーがすべての Cookie ではなく一部の Cookie (JSESSIONID など) を送信していることがわかりました。さらなる調査 (PHP を使用した簡単な PoC) により、モバイル ブラウザーは、HttpOnly フラグが設定された audio-tag を介した Cookie の送信を拒否しているように見えることが明らかになりました。だから私の質問は：

これは指定された動作ですか? モバイル版とデスクトップ版 (Chrome) で違いがあるのはなぜですか?クライアント側から動作を制御する方法はありますか?