Настройка "HttpOnly" и "Безопасный" в web.xml

Question

Настройка "HttpOnly" и "Безопасный" в web.xml

Мне нужно, чтобы атрибуты 'HttpOnly' и 'Secure' были установлены в 'true', чтобы предотвратить CWE-614: чувствительный файл cookie в сеансе HTTPS без атрибута 'Secure' и CWE-402: передача частных ресурсов в недостатки новой сферы от отображается в отчете Veracode.

После некоторого онлайн-поиска лучше всего просто установить атрибуты в файле web.xml проекта:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
 </session-config>

Тем не менее, я получаю сообщение об ошибке на открывающем теге, в котором говорится, что "содержимое элемента типа"session-config"должно соответствовать"(session-timeout)?").

Я не уверен, что это значит точно. Я предполагаю, что это как-то связано с порядком элементов, но я не знаю, как это исправить.

Какие-нибудь мысли?

Спасибо!

17

security session cookies web.xml httponly

Источник

user2558783 14 июн '17 в 19:19

2 ответа

Другие вопросы по тегам security session cookies web.xml httponly

user7178410 10 июл '17 в 20:40 2017-07-10 20:40 · Answer 1 · 2017-07-10 20:40

Поддержка атрибутов secure и http-only доступна только в спецификации http-сервлета 3. Проверьте, что атрибут version в вашем web.xml имеет значение "3.0".

<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
            http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
     version="3.0">

user8120187 14 ноя '23 в 18:23 2023-11-14 18:23 · Answer 2 · 2023-11-14 18:23

В версии 4.0 используйтеcookie-configярлык.

      <session-config>
     <cookie-config>
         <http-only>true</http-only>
         <secure>true</secure>
     </cookie-config>
</session-config>

0

Источник

user8120187 14 ноя '23 в 18:23