Question

我正在尝试在Weblogic 10.3中为JSESSIONID设置http-only标志

显然在cookie-http-only下有一个名为session-descriptor的参数可以在Weblogic 9中完成此操作，但Weblogic 10.3缺少此参数。这有什么替代方案吗？

我在某处看到，在WL 10中默认设置了HttpOnly标志，但在我的情况下看起来并不是这样。有人试图在WL 10.3.5 here

中关闭HttpOnly标志

谢谢

我正在使用的weblogic.xml内容

<wls:weblogic-web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wls="http://www.bea.com/ns/weblogic/90" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd http://www.bea.com/ns/weblogic/90 http://www.bea.com/ns/weblogic/90/weblogic-web-app.xsd">
  <wls:context-root>/</wls:context-root>
  <wls:container-descriptor>
    <wls:prefer-web-inf-classes>true</wls:prefer-web-inf-classes>
  </wls:container-descriptor>
  <wls:session-descriptor>
    <wls:cookie-secure>true</wls:cookie-secure>
    <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
    <wls:cookie-http-only>true</wls:cookie-http-only>
  </wls:session-descriptor>
</wls:weblogic-web-app>

Answer 1

在10.3的更高版本中不会遗漏。然而，它可能在10.3的第一个版本中丢失了。

https://serverfault.com/questions/151107/http-only-cookies-in-weblogic-what-versions-support-them-how-and-why-are-they-s

请查看此处的文档以获取10.3.6以确定它确实存在：

http://docs.oracle.com/cd/E23943_01/web.1111/e13712/weblogic_xml.htm#i1071981

我建议抓住10.3的最新最佳补丁。

JSESSIONID HttpOnly在Weblogic 10.3中

1 个答案: