java - 设置会话Cookie的安全性,并将httpOnly设置为LFR_SESSION_STATE_%

环境:
使用jboss的liferay 6.2
我们正在努力实现httponly和secure。
为此,我们做了如下改动
在portal-ext.properties中添加:

cookie.http.only.names.excludes=


在root.war/web-inf/web.xml中添加了以下属性
     <session-config>
      <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
      </cookie-config>
     </session-config>

我可以看到所有的会话cookie都是httponly,除了以lfr_session_state开始的会话cookie_
有人能建议我们如何处理这个问题吗?

最佳答案

lfr_session_state_u是在客户端而不是服务器端显式处理的cookie,因此它们本质上只能通过js访问。据我所知,它们甚至从未在服务器端持久化。我也不指望这些饼干会泄露什么。在我看来,cookies是关于确定质量状态的,“这个帮助项目应该以全文显示还是刚刚折叠”。

本文翻译自 https://stackoverflow.com/questions/32884229/

网站遵循 CC BY-SA 4.0 协议,转载或引用请注明出处。

标签 java jboss liferay-6.2 cookie-httponly


相关文章:

java - 使用Java从XML中提取必需和可选的属性值

java - getExternalStorageDirectory()和getExternalStorageState()之间的区别

java - 如何显示自定义throw语句

java - 我可以将属性注入JPA实体侦听器吗

java - 向jboss standalone.sh提供命令行参数

javascript - Liferay:如何缩小jsp中包含的CSS和JS文件

java - 在Java for Android中同步访问对象的推荐方法是什么?

java - 在JBoss(EAP6)上禁用自动wsdl发布

css - Liferay 6.2布局行的大小不同

java - 如何在Liferay中为自定义角色的布局添加VIEW权限