堆栈内存溢出
  繁体   English   中英

会话Cookie中缺少HttpOnly属性

[英]Missing HttpOnly Attribute in Session Cookie

 原文  2012-03-23 06:29:36       java/ security/ jsp/ jsessionid/ httponly

问题描述

sign.jsp ,我写了以下内容,以便如果用户已经登录,那么他将立即转发到他的home page 

<%
try{

HttpSession session1 = request.getSession(false);

if(session1.getAttribute("authenticated")!=null &&  
 session1.getAttribute("authenticated").equals(true))
{
response.sendRedirect("userhome.jsp");
}
else{

// users have to login here
}
%>

安全扫描告诉sign.jsp Missing HttpOnly Attribute in Session CookieMissing HttpOnly Attribute in Session Cookie

如果我将设置: <Context useHttpOnly="true"> ... </Context>

in: C:\\Program Files\\Apache Software Foundation\\Apache Tomcat 6.0.20\\conf

那我的问题会解决吗或我还有什么需要做的? 任何建议都非常感谢

3 个解决方案

解决方案1
 4 已采纳  2012-03-23 08:18:30

如果您使用Servlet 3.0。 Than In Servlet 3.0(Java EE 6)引入了一种为会话cookie配置HttpOnly属性的标准方法,在web.xml中应用以下配置 

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
<session-config>

解决方案2
 1  2012-05-02 20:51:11

另一种方法是 

Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setHttpOnly(true);
httpResponse.addCookie(cookie);

解决方案3
 0  2017-11-16 05:42:55

阅读这篇文章https://access.redhat.com/solutions/338313

我想你必须设置 

<Context cookies="true" crossContext="true">
  <SessionCookie secure="true" httpOnly="true" />

“$ PROFILE \\ deploy \\ jbossweb.sar \\ context.xml”中的属性

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 缺少HTTP协议的会话标识符的HttpOnly属性 将“HttpOnly”属性添加到所有会话cookie 为LFR_SESSION_STATE_%设置会话cookie安全和httpOnly 使用 Java 解决“加密会话 (ssl) cookie 中缺少安全属性” 如何为 Java Web 应用程序设置 httponly 和会话 cookie 从 HttpURLConnection 保存 Cookie(包括 !httponly 标志)和会话 如何获取HttpOnly cookie IPCZQ cookie httpOnly httpOnly Session Cookie + Servlet 3.0(例如Glassfish v3) 关闭浏览器窗口时如何删除 HttpOnly 服务器端会话 cookie
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM