Qualys网络应用程序扫描报告,被设置为“使用LinkedIn登录”功能一部分的cookie没有“安全”或“ httpOnly”属性。我们使用Spring Social来管理这些连接,并假设它将正确处理所有这些连接。但是,我们需要解决此问题,以便Cookie: “ linkedin_oauth_ {clientId} _crc”是安全且httpOnly的。
我已经在控制器中尝试过类似的事情:
Cookie[] cookies = httpRequest.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("linkedin_oauth_" + this.linkedInKey + "_crc")) {
cookie.setSecure(true);
cookie.setHttpOnly(true);
response.addCookie(cookie);
}
}
}
但是它仅将它们作为“响应Cookie”返回,并且(至少从我的判断中)不更新浏览器中的实际Cookie。可以使用@ControllerAdivce或某种方法来拦截Cookie并强制使用这些属性,还是采用完全不同的方法?