httpOnly cookie

时间:2012-11-17 12:44:38

标签: jboss security httponly

我已经对jboss 5中部署的应用程序(内置struts和hibernate框架)进行了Web扫描,报告了“Set-cookie does not use HTTPOnly keyword. The web application does not utilize HTTPOnly cookies”。这是什么意思。我查找了一些帖子,只是在我的j boss/deploy/jbossweb.sar/context.xml中添加了一行作为

<SessionCookie secure="true" useHttpOnly="true" >

设置完毕后,我在运行应用程序时遇到错误。
是否有任何我丢失的配置?

2 个答案:

答案 0 :(得分:1)

试试这个:

<SessionCookie secure="true" httpOnly="true" />

答案 1 :(得分:0)

  

是什么意思

http响应标头中的HttpOnly标志向浏览器指示不应允许客户端访问JSESSION_ID或其他会话cookie类型标识符。这是为了防止通过XSS中的客户端脚本(或涉及来自客户端的会话劫持的其他攻击)恶意访问会话令牌。目前,几乎所有主流浏览器都支持此标记(请参阅this list以获得支持的浏览器),但在不支持浏览器的浏览器中会被忽略。请在OWASP site

上查看有关此内容的更多信息

通过在上下文文件中包含以下内容,对tomcat及其分叉(包括Jboss)的设置类似:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
    </cookie-config>
</session-config>


 <SessionCookie secure="true" httpOnly="true" />
相关问题
最新问题