[1/2] 在階段作業 Cookie 中遺漏 HttpOnly 屬性
說實在,第一眼看到時,完全不知道是什麼,總之,就是要我處理掉它(內心os:處理掉不知道會有什麼問題)。
查了下資料,Tomcat 7及spring 3後,都可以在web.xml中的session-config去設定,例如:
<session-config>
<session-timeout>10</session-timeout>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
只是,我用的好像是很舊的,但還是有法子,就是在server.xml中的Context加入
<Context docBase="{你的專案路徑}" path="{你的專案路徑}" reloadable="true" useHttpOnly="true"/>
這樣就ok了,查了下是說防止xss的方法之一,只能說年頭要防的東西太多了
參考網址:
Java EE 6.0 的 Cookie 类已经有设置 HttpOnly 的方法
Spring安全控制
How do you configure HttpOnly cookies in tomcat / java webapps?
HttpOnly介绍以及防止XSS攻击时的作用(转)
How do I set httpOnly and secure cookies with Spring Security?
沒有留言:
張貼留言