java - session Cookie 中缺少 HttpOnly 属性

标签 java security jsp jsessionid httponly

sign.jsp ,我写了以下内容,这样,如果用户已经登录,那么他将立即被转发到他的 home page 

<%
try{

HttpSession session1 = request.getSession(false);

if(session1.getAttribute("authenticated")!=null &&  
 session1.getAttribute("authenticated").equals(true))
{
response.sendRedirect("userhome.jsp");
}
else{

// users have to login here
}
%>

安全扫描表明 Missing HttpOnly Attribute in Session Cookiesign.jsp .

如果我将设置:<Context useHttpOnly="true"> ... </Context>

在:C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

那么我的问题会得到解决还是我还需要做什么?非常感谢任何建议

最佳答案

如果您使用 Servlet 3.0。比 在 Servlet 3.0 (Java EE 6) 中引入了一种标准的方法来为 session cookie 配置 HttpOnly 属性,在 web.xml 中应用以下配置

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
<session-config>

关于java - session Cookie 中缺少 HttpOnly 属性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9835019/

上一篇:java - JPA 获取与连接。联接是否已弃用?

下一篇:java - 我需要在 JUnit 测试中专注于测试 "public"方法还是 "private"方法?

相关文章:

期望参数具有多重继承的 Java 方法

spring - 在 Spring 4.0.3 + Spring Security 3.2.3 + Thymeleaf 2.1.2 中将 CSRF 放入 Headers

security - 如果使用HTTPOnly cookie,是否需要CSRF中间件?它应该是基于 session 的吗?

security - 你如何在 prod、staging 和 dev 环境之间沙箱 cookie?

java - 重新加载jsp页面时出现字节限制超出问题?

java - 从我的服务器调用另一台服务器的JSP

java - Intellij 删除了我的项目文件 - 如何恢复?

javascript - 将 json 从 js 传递到 java 的 url 问题

javascript - 注册JSP页面显示错误时出错

Java - 逐字 rune 本文件读入二维数组

©2024 IT工具网  联系我们