問題タブ [httponly]

セッションCookieがhttpOnlyフラグで設定されるようにgrailsプロジェクトを構成したいと思います。

私が理解しているように、これはweb.xmlまたはcontext.xmlファイルの構成です。しかし、どうすればそれを私のgrailsプロジェクトに設定できますか？

次のようなさまざまなテクノロジを使用して、Web サービス アプリケーションを開発しています。

サーバー側の Ruby on Rails Javascript、HTML5、objective-C、モバイル側の Java

サファリ ブラウザを更新するまで、アプリケーションの開発で問題は発生しませんでした。私は実際に実行します：

バージョン 5.1.1 (7534.51.22)

Sencha Touch Frameworkを使用してモバイル アプリケーションを開発しています。js アプリケーションが phonegap でラップされている場合はうまく機能しますが、プロトコル file:// を使用してサファリで開発している場合、Cookie は保存されません。

Safari バージョンを更新する前は、Cookie が保存され、リクエストを行うたびにサーバーに正しく送信されていました。

再現するには：

A. Safari ウィンドウで index.html ファイルを開く:

ファイル://~/project/myapp/index.html

B.XHR を http: //localhost:3000/sign_in でサーバーに送信

C. サーバーから Cookie と正しい成功コードを取得する

D. を使用して他の情報を取得しようとする

http://localhost:3000/users/1

あなたが得る: 401 Unauthorized。

まあ、サーバーは変わっていませんが、サファリだけが更新されています。それを行う正しい方法は何でしょうか。そしてもちろん、iOS、blackberry、または Android 用のアプリを作成したときにも機能します。

ありがとうございました ！

phonegap で使用するために httponly をオフにしようとしています。私は Rails 3.1 と devise を使用していますが、それぞれがこれを行う方法を報告していますが (文書化されていません)、どれも機能しません:

テストするために、サーバーを再起動し、既存の Cookie を削除し、ページをリロードしました。「Http」列は、Chrome デバッガーでまだチェックされていました。

ヘルプ！

HTTPOnlyCookies設定が有効になっているWebsphere6.1.0.31で実行されているアプリケーションに問題があります。問題は、HttpURLConnectionを介してサーブレットに接続するアプレットにあります。アプレットには、JSPページからパラメータによってJSESSIONIDが渡されます。HttpURLConnect呼び出しでは、Cookieヘッダーを設定し、JSESSIONIDを含めます。サーブレットは渡されたCookieを使用せず、新しいセッションを作成してエラーを引き起こします。HTTPOnlyCookiesを無効にすると、これはエラーなしで機能します。設定は（com.ibm.ws.webcontainer.HTTPOnlyCookies = *）です。

以下は、このタスクをどのように実行しているかを示すために変更されたコードです。これは本番ソフトウェアにあるため、プロジェクトに関連する情報を削除するためにコードを変更しただけです。

以下は、アプレットからのJavaコンソールトレースファイルに表示されるエラーです。ここでも小さな情報を変更するだけで、WASReqURLに「ホスト名」がないことに気づきました。

助けてくれてありがとう、そしてあなたが援助する必要があるかもしれないさらなる情報を私に知らせてください。私はまったく役立つものを見つけることができません。

_詳細を追加する

本番環境では、行（httpConn.setRequestProperty（ "Cookie"、 "JSESSIONID =" + sessionId）;）も存在せず、プロセスは正常に機能します。しかし、クライアントはWebsphereでhttpOnly設定を有効にしたいと考えていますが、アプレットが機能していません。セッションのパスが機能しない理由を見つけたかもしれません。Cookieヘッダーを見ると、JSESSIONIDのヘッダーが、アプレットのパラメーターとして設定されているものとは異なることに気付きました。調べてみると、クラスター環境のJSESSIONID形式に関する情報が見つかりました。https://www.ibm.com/developerworks/mydeveloperworks/blogs/Dougclectica/entry/websphere_session_ids22?lang=en、これはCacheID + SessionID +：+CloneIDです。JSPページでこれらの値を取得する方法を見つけようとしているところです。

アプリケーションサーバーにSSLをすでに設定している場合でも、CookieにHttpOnlyを設定する必要がありますか？

サーブレット3.0苦情アプリケーションサーバーでは、web.xmlに以下を追加することで、セッションCookie（JSESSIONID）のHttpOnlyフラグとセキュアフラグを設定できます。

ただし、私が取り組んでいるアプリケーションはWebsphere 7にデプロイされることになっています。これは、サーブレット2.5の苦情であり、上記をweb.xmlに追加すると起動に失敗します。

Websphere 7構成で、セッションCookieのHttpOnlyおよびセキュアフラグをオンにする他の宣言的な方法または設定はありますか？

そうでない場合、プログラムでそれを達成するための最良のアプローチは何でしょうか？

質問にあるように、Cookie が HttpOnly の場合、Javascript 内に Cookie が存在するかどうかを確認できますか? その中の情報にアクセスする必要はありません。情報があることを知っているだけです。

状況についてもう少し情報を加えると、もともと Cookie を認証トークンとして使用する Web サーバーがあり、クライアントによって使用されないため、httponly に設定されていたため、セキュリティが強化されました。

ただし、Cookie があるかどうかをクライアントが知る必要がある場合に変更が必要です (サイトはユーザーがログインしていなくても機能しますが、ユーザーがログインしている場合 (認証 Cookie が存在するため)、サイトは特定の情報を表示する必要があります)。ものと他のものを非表示にします。

Web サーバーには他のセキュリティ対策が講じられているため、クライアントが正しくない認証 Cookie を保持しているシナリオでも害はありませんが、Cookie を削除してユーザーを拒否するため、サイトはログインしているように見せかけます。 .

最初のモバイルWebアプリを作成する予定ですが、Android2.3のブラウザーはhttponlyを実装していないことがわかりました。

この問題を軽減するためのいくつかのテクニックは何ですか？これは失われた原因ですか？

カスタムの期間、たとえば 1 か月で有効期限が切れる「ユーザー名を記憶する」Cookie を作成しています。HttpOnly = true を追加すると、有効期限がセッションに変更されることに気付きました。どうしてこれなの？なぜこれが起こるのかについてのドキュメントが見つからないようです。

ありがとう。

でsign.jsp、私は次のように書いています。これにより、ユーザーがすでにログインしている場合は、すぐにそのユーザーに転送されます。home page

セキュリティスキャンはでそれを伝えてMissing HttpOnly Attribute in Session Cookieいsign.jspます。

私が設定する場合： <Context useHttpOnly="true"> ... </Context>

の ：C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

その後、私の問題は解決されますか、それとも他に何をしなければなりませんか？どんな提案でも大歓迎です