Drapeaux sécurisés et HttpOnly pour le cookie de session Websphere 7

Dans le Servlet 3.0 plainte serveurs d'applications, je peux mettre le HttpOnly et de sécuriser les drapeaux pour le cookie de session (JSESSIONID) par adjonction, à la web.xml:

<session-config>
  <cookie-config>
    <secure>true</secure>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

Toutefois, l'application que je suis en train de travailler sur doit être déployé dans Websphere 7, qui est Servlet 2.5 plainte et il ne parvient pas à démarrer si j'ajoute ci-dessus pour le web.xml

Est-il de toute autre façon déclarative ou mise en Websphere 7 configuration pour activer le HttpOnly et de sécuriser les drapeaux pour le cookie de session?

Si non, quelle serait la meilleure approche pour accomplir que par programmation?

source d'informationauteur mmutilva

  1. 8

    Je pense que dans WebSphere 7, vous pourriez avoir à se plonger dans la console d'administration. Comme toujours WebSphere documentation semble mauvaise, mais semble indiquer le réglage de la com.ibm.ws.de sécurité.addHttpOnlyAttributeToCookies propriété:

    À la fois de l'indicateur de sécurité et le drapeau HTTPOnly sont activés par configuration de WebSphere Application Server de propriété:
    com.ibm.ws.security.addHttpOnlyAttributeToCookies.

    J'ai trouvé cettequi, je l'espère, est applicable à WAS7. Pouvez-vous essayer s'il vous plaît (je n'ai eu 8 à l'instant sur mon système):

    Cookie JSESSIONID:

    Indicateur De Sécurité:

    De l'indicateur de sécurité peuvent être définis dans le Serveur d'Applications WebSphere
    interface d'administration en sélectionnant AppServer->[Nom du Serveur]->Web
    Conteneur des Paramètres->Gestion de Session. Cochez la case pour la
    “Limiter l'utilisation de cookies à des Sessions HTTPS”.

    HTTPOnly Drapeau:

    Le HTTPOnly attribut ne peut pas actuellement être mis sur ce cookie. Cette
    il est enregistré sur le site IBM comme APAR PK98436. Le correctif de ce APAR
    est prévue pour l'inclusion dans les groupes de correctifs 6.1.0.31 et 7.0.0.9,
    qui ne sont pas encore disponibles. Avec cette APAR en place, le HTTPOnly
    indicateur peut être défini sur le cookie JSESSIONID par le nom de la propriété:
    com.ibm.ws.webcontainer.httpOnlyCookies. Reportez-vous à la suivante
    note technique pour obtenir des instructions sur l'activation de WebContainer propriétés personnalisées.

    La com.ibm.ws.webcontainer.httpOnlyCookies propriété est documenté sur le a ÉTÉ de 7 site d'aide.

  2. 3

    Pour définir l'indicateur de sécurité à cookie JSESSIONID (même pour WebSphere 7.x et 8.x):

    • journal dans le journal de la console d'administration WebSphere
    • Accédez à Serveur > les types de serveurs > WebSphere application des serveurs
    • Cliquez sur le nom du serveur (par défaut est serveur1)
    • Cliquez sur le lien Web Contenant des paramètres > Conteneur Web
    • Cliquez sur le lien Gestion de Session
    • Cliquez sur le lien Activer les Cookies. Ce bit un petit peu confus, vous avez pour
      cliquez sur le texte, pas sur la case à cocher
    • sélectionnez l'option (case à cocher) Limiter l'utilisation de cookies à des sessions HTTPS
    • Enregistrer changements

    Pour définir HttpOnly drapeau dans WebSphere 8.x cookie JSESSIONID

    • journal dans le journal de la console d'administration WebSphere
    • Accédez à Serveur > les types de serveurs > WebSphere application des serveurs
    • Cliquez sur le nom du serveur (par défaut est serveur1)
    • Cliquez sur le lien Web Contenant des paramètres > Conteneur Web
    • Cliquez sur le lien Gestion de Session
    • Cliquez sur le lien Activer les Cookies. Ce bit un petit peu confus, vous devez cliquer sur le texte, pas sur la case à cocher
    • sélectionnez l'option (case à cocher) Ensemble des cookies de session pour HTTPOnly pour aider à prévenir les attaques de script entre sites
    • Enregistrer changements

    Pour définir HttpOnly drapeau dans WebSphere 7.x cookie JSESSIONID

    • journal dans le journal de la console d'administration WebSphere
    • Accédez à Serveur > les types de serveurs > WebSphere application des serveurs
    • Cliquez sur le nom du serveur (par défaut est serveur1)
    • Cliquez sur le lien Web Contenant des paramètres > Conteneur Web
    • Cliquez sur le lien Personnalisé Proprties
    • Cliquez sur le bouton Nouveau
    • Entrer nom: com.ibm.ws.webcontainer.httpOnlyCookies valeur:* (HttpOnly sera installé sur tous les cookies ne sont pas seulement JSESSIONID)
    • Cliquez sur OK bouton
    • Enregistrer changements
  3. 0

    Dans WebSphere 7, vous pouvez le trouver dans la console d'administration en vertu de l' Serveurs > WebSphere application des serveurs > [Nom du Serveur] > gestion de Session (sous "Paramètres du Conteneur") > Activer les cookies > Limiter l'utilisation de cookies à des sessions HTTPS.