comment configurer httponly et le cookie de session pour l'application web java
Salut, je suis en train de travailler sur XSS(cross site scripting). ma demande se développer sur oracle weblogic portal. nous utilisons Servlet 2.5 version.
J'ai ajouté en dessous de 3 lignes de code dans le filtre pour le réglage de httponly et bloqué les cookies.
et il fonctionne très bien.
String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");
Le problème c'est quand je vous déconnecter et reconnecter immédiatement dans le même navigateur, je suis en mesure de se connecter, mais après que sur les pages jsp, je suis d'expiration de la session problème. nous utilisons weblogic api. demande.getuserprinical() de l'api est de retour null.. suppose que c'est le paramètre à null.
aucune idée de s'il vous plaît partager.
si il y a d'autres façons de définir httponly ou indicateur de sécurité s'il vous plaît aider.
source d'informationauteur Kiran
Vous devez vous connecter pour publier un commentaire.
Selon les spécificités de votre conteneur web, la modification de container-managed les cookies de session dans une application peut entraîner l'application serveur pour lancer la session existante et en créer un nouveau. J'ai observé cela sur Tomcat, mais il peut être similaire pour Weblogic.
Si vous êtes à l'aide de Servlets 3.0, vous pouvez charger le serveur d'application pour s'assurer que tous les cookies de session sont HttpOnly et fixez-le avec les trois extraits suivants:
C'est une meilleure approche que manuellement le piratage sur les cookies avec un filtre.
Pour info: j'ai aussi écrit un Bibliothèque Java qui injecte un certain nombre d'liées à la sécurité, en-têtes de réponse dans le Servlet en fonction des applications.
Vous devez utiliser la syntaxe suivante pour définir à la fois httponly et securu drapeaux
J'ai utilisé
<http-only>
et<secure>
dans les tags web.xml pour définir la sécuriser les attributs et cela a fonctionné.