問題タブ [httponly]

つまり、基本的に私が欲しいのはhttponlyCookieの正反対です。JavaScriptを介してブラウザにCookieを設定し、JavaScriptのみを介してCookieを取得できるようにしたい。つまり、Cookieはサーバーに送信されません。

ユースケースは、JSアプリケーションが暗号化されていないhttp接続から提供される場合です。つまり、Cookieは暗号化されずにサーバーに送信され、スニッフィングされる可能性があります。

URL https://secure-ausomxeja.crmondemand.com/OnDemand/でロードする Web アプレットがあります... 同じドメイン内で Web サービス呼び出しを行っているところから (https://secure-ausomxeja.crmondemand) .com/Services/Integration) JQuery を使用します。すべてが同じドメインで行われているにもかかわらず、JSessionId (httponly Cookie) が JQuery Web サービス呼び出しで渡されないという事実を理解できません。興味深いことに、Web サービスの URL がhttps://secure-ausomxeja.crmondemand.com/OnDemand/ ...で始まる場合(正しくありませんが)、ブラウザーは Cookie を適切に渡します。

問題は、httponly Cookie がサーバーに送り返されるためには、同じドメインまたは最初のディレクトリ (この場合は OnDemand) の名前さえあれば十分でしょうか?

以下は、JSessionId Cookie を渡さないコード スニペットです。

以下は、JSessionId Cookie を渡すコード スニペットです (ただし、その場所で利用できる Web サービスがないため意味がありません)。

ローカルホストにTomcatサーバーがあり、デプロイサーバーにはJettyがあります。Spring2.5とSpringSecurity2.0を使用しています（サーブレットは2.5です）。ユーザーのセッションIDを保護したい。これらのディレクティブを使用して、HttpOnlyCookieを使用するようにTomcatを設定しました。

そして、すべてが正常に動作します（Tomcatで）。今、私はJettyで同様のことをしたいと思います。出来ますか？または、アプリケーションのコンテキストでのみ管理することは可能ですか？

どうもありがとうございます。

HttpOnly Cookies の作成に問題があります。次のコードを使用して新しい Cookie を作成します。

False問題は、HttpOnly プロパティが に設定されているにもかかわらず、最終結果が常に :であることTrueです。
誰かがこれを理解する方法を説明できますか?
ありがとう

私のasp.net mvc web.configファイルで、次のように設定しました...

開発マシンとライブ サーバーではすべて正常に動作しますが、ステージング サーバーではセッションが機能しません。セッションに値があることに依存するコードがいくつかあり、それが見つからないと常に応答します。

属性によってサーバー構成がこのようにどのように影響を受ける可能性がありますか?

乾杯、イアン。

Sofリンクでこの解決策を見つけまし たが、次の 2 つの原因から変更する必要がありました。

1. .getFacesContext() 関数はありません
2. 特定の Cookie ファイルがありません (ourcookiename=yourcookievalue の行を参照)

私のコードは次のようになります。

オリジナルコード

私が間違っている場合は修正してください。前もって感謝します

問題トラッカーで提供されている要点を適用して、Authlogic の Cookie にセキュアで httponly のオプションとメソッドを追加しようとしましたが、少し問題があります。パッチを適用し、Cookie に表示される新しい属性を取得しました。デフォルトで設定したいので、パッチのコメントで提案されている 2 番目の方法を使用して設定しようとしました。

しかし、Rails は「httponly」と「secure」メソッドが存在しないと不満を漏らしています。コメントから、他の誰かがこの問題を抱えているようには見えず、これに関する他のドキュメントを見つけることができませんでした. 何か不足していますか？

ええ、これは楽しいはずです。

Fusebox 5.5で構築され、iFrameを使用しているサイトで作業しています。私は最近、サイトをApplication.cfcに変換し、サイトのgoogleインデックス作成に使用しているCookieをHTTPonlyに設定するという任務を負いました：http：//www.petefreitag.com/item/764.cfm。アプリケーションはCF8で実行されています。

私が直面している問題は、ユーザーがサイトにログインした後、ログインプロセスの後にセッションデータが設定され、ヒューズがトリガーされて、サイトを分割するための「フレームバスター」機能を含むホームページが読み込まれることです。ログインしてメインページをロードするための内部iframe。これが実行されると、IEはセッションをドロップし、ページの残りの部分がロードされると、セッションが欠落していることを検出してホームページへのリダイレクトを強制する別のチェックが発生します。各javascriptリダイレクトは、IEで使用されるときに新しいセッションを作成します。この問題はFirefoxまたはChromeでは発生していません。

これは、bodyタグのonLoadとしてトリガーされるフレームバスター関数です。

これはonSessionStart関数です。

HTTPOnly Cookieをコメントアウトし、代わりに現在コメントアウトされているCFCookieコードを使用すると、IEは複数のセッションを作成しようとしません。

httpのみを設定するにはこれをweb.xmlで使用しました

ただし、httpのみを設定しているわけではありません。誰もが提案できますか、何が問題なのか。とそれを設定する方法。

ありがとう。

Java Web アプリケーションに Tomacat6.0.33 を使用しています。context.xml で http-only を設定すると、うまくいきました。しかし、コーディングによって設定できる他の方法はありますか。

ありがとう