httpOnly cookie

Question

我对部署在jboss 5中的一个应用程序(内置在struts和hibernate框架中)进行了web扫描，它报告了"Set-cookie does not use HTTPOnly keyword. The web application does not utilize HTTPOnly cookies“。这是什么意思。我查找了一些帖子，只在我的jboss/deploy/jbossweb.sar/context.xml中添加了一行，如下所示

<SessionCookie secure="true" useHttpOnly="true" >

设置完成后，我在运行应用程序时遇到错误。

有没有我遗漏的配置？

Answer 1

这是什么意思

http响应报头中的HttpOnly标志向浏览器指示不应允许客户端访问JSESSION_ID或其它会话cookie类型标识符。这旨在防止通过XSS中的客户端脚本对会话令牌进行恶意访问(或涉及客户端会话劫持的其他攻击)。目前，几乎所有主流浏览器都支持此标志(有关支持浏览器的信息，请参阅this list )，但在不支持此标志的浏览器中，此标志会被忽略。有关这方面的更多信息，请访问OWASP site

通过在上下文文件中包含以下内容，tomcat及其分支(包括Jboss )的设置类似：

<session-config>
    <cookie-config>
        <http-only>true</http-only>
    </cookie-config>
</session-config>

或

 <SessionCookie secure="true" httpOnly="true" />

Answer 2

试试这个：

<SessionCookie secure="true" httpOnly="true" />