为LFR_SESSION_STATE_%设置会话cookie安全和httpOnly

时间:2015-10-01 09:37:57

标签: java jboss liferay-6.2 cookie-httponly

环境:

  1. Liferay 6.2 with Jboss

    2. 我们正在尝试实施httponly和安全。

    为此我们有一些改变如下

      

    在Portal-ext.properties中添加:

    cookie.http.only.names.excludes=

      

    在ROOT.war / WEB-INF / web.xml

    中添加了以下属性 
         <session-config>
      <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
      </cookie-config>
     </session-config>

    我可以看到所有会话cookie都是httponly,除了以 LFR_SESSION_STATE _

    开头的那个

    任何人都可以建议我们如何处理这个问题。

1 个答案:

答案 0 :(得分:1)

LFR_SESSION_STATE_是明确在客户端而不是在服务器端处理的cookie - 因此它们本身只能通过JS访问。据我所知,他们甚至从未在服务器端坚持过。而且我不希望这些cookie真正泄漏。在我看来,cookies是关于确定质量的状态&#34;如果这个帮助项目以全文显示或者只是折叠了&#34;。

相关问题
最新问题