环境:
- Liferay 6.2 与 Jboss
我们正在尝试实现 httponly 和安全。
为此我们做了如下一些改动
Added in Portal-ext.properties :
cookie.http.only.names.excludes=
和
Added following properties in ROOT.war/WEB-INF/web.xml
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
我可以看到所有 session cookie 都是 httponly,除了以 LFR_SESSION_STATE_
开头的那个谁能建议我们如何处理这个问题。
最佳答案
LFR_SESSION_STATE_ 是明确在客户端而非服务器端处理的 cookie - 因此它们本质上只能通过 JS 访问。据我所知,它们甚至从未在服务器端持久存在。而且我不希望这些 cookie 有任何真正的泄漏。在我看来,cookie 是关于确定质量状态“这个帮助项目应该以全文显示还是只是折叠”。
关于java - 为 LFR_SESSION_STATE_% 设置安全 session cookie 和 httpOnly,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32884229/