問題タブ [httponly]

suselinux に apache2.4.6 と dotcms2.3.2 があります。dotcms と tomcat で httponly とセキュアな falg を設定したい。これらの構成を apache と tomcat で設定し <Context useHttpOnly="true">ますcontext.xml <Connector maxThreads="400" connectionTimeout="3000" port="8080" protocol="HTTP/1.1" redirectPort="8443" URIEncoding="UTF-8" secure="true" /> 。server.xml

また

でhttpd.conf。

その後、Tomcat を再起動して burp suite でテストしますが、cookie に設定されません。

カスタム 404 ページを使用しているときに、IIS7 ですべてのセッション Cookie を HTTPONLY にするのに問題があります。

これは私の webconfig です:

これにより、404 応答がある場合を除き、すべての Cookie が HTTPONLY になります。404 ページは、HTTPONLY なしでセッション Cookie を返します。

助言がありますか？

phonegap アプリケーションの開発中に、使用している API への XHR ログイン要求からの応答に SetCookie ヘッダーが表示されます。予想どおり、後続のリクエストを調べると、Cookie が送信されていることがわかります。また、Cookie であることもわかりますhttpOnlyので、スクリプトを使用して保存することはできません。

ただし、Chrome 開発ツールの「リソース」では、必要に応じて Cookie を削除しても問題ありません。

しかし、それぞれのデバイスで Safari または Chrome Web Inspector を使用して、外部の iOS または Android デバイスでアプリケーションを実行している場合、[リソース] パネルに Cookie が表示されません。リクエストにもレスポンスにも Cookie ヘッダーは表示されませんが、どういうわけか私のリクエストは問題ありません。

これはセキュリティ対策ですか、それともアプリや API に Cookie に関するバグがありますか?

Spring Boot のデフォルトであると思われる HttpOnly セッションをオフにしたいと思います。春のブートで HttpOnly をオフにするにはどうすればよいですか?

現在、次のようなコードがあります。

これは、HTTP 呼び出しで応答ヘッダーを返します。

HttpOnly フラグに注意してください。私はそれをオフにしたいと思います。どうすればいいですか？

補足: はい、httpOnly はセキュリティ機能であり、それをオフにすることで、javascript が私の Cookie、つまり XSS にアクセスできることを知っています。

また、デフォルト以外の構成はありません。