Drapeaux sécurisés et HttpOnly pour le cookie de session Websphere 7
Dans le Servlet 3.0 plainte serveurs d'applications, je peux mettre le HttpOnly et de sécuriser les drapeaux pour le cookie de session (JSESSIONID) par adjonction, à la web.xml:
<session-config>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
Toutefois, l'application que je suis en train de travailler sur doit être déployé dans Websphere 7, qui est Servlet 2.5 plainte et il ne parvient pas à démarrer si j'ajoute ci-dessus pour le web.xml
Est-il de toute autre façon déclarative ou mise en Websphere 7 configuration pour activer le HttpOnly et de sécuriser les drapeaux pour le cookie de session?
Si non, quelle serait la meilleure approche pour accomplir que par programmation?
source d'informationauteur mmutilva
Vous devez vous connecter pour publier un commentaire.
Je pense que dans WebSphere 7, vous pourriez avoir à se plonger dans la console d'administration. Comme toujours WebSphere documentation semble mauvaise, mais semble indiquer le réglage de la com.ibm.ws.de sécurité.addHttpOnlyAttributeToCookies propriété:
J'ai trouvé cettequi, je l'espère, est applicable à WAS7. Pouvez-vous essayer s'il vous plaît (je n'ai eu 8 à l'instant sur mon système):
La com.ibm.ws.webcontainer.httpOnlyCookies propriété est documenté sur le a ÉTÉ de 7 site d'aide.
Pour définir l'indicateur de sécurité à cookie JSESSIONID (même pour WebSphere 7.x et 8.x):
cliquez sur le texte, pas sur la case à cocher
Pour définir HttpOnly drapeau dans WebSphere 8.x cookie JSESSIONID
Pour définir HttpOnly drapeau dans WebSphere 7.x cookie JSESSIONID
Dans WebSphere 7, vous pouvez le trouver dans la console d'administration en vertu de l' Serveurs > WebSphere application des serveurs > [Nom du Serveur] > gestion de Session (sous "Paramètres du Conteneur") > Activer les cookies > Limiter l'utilisation de cookies à des sessions HTTPS.