web-dev-qa-db-ja.com

web.xmlで「HttpOnly」と「Secure」を設定する

CWE-614:「セキュア」属性のないHTTPSセッションの機密Cookie および CWE-402を防ぐために、「HttpOnly」および「Secure」属性を「true」に設定する必要があります:プライベートリソースの新しい領域への送信 Veracodeレポートに表示されないという欠陥。

オンライン検索をいくつか行った後、プロジェクトのweb.xmlファイルの属性を次のように設定するのが最善の方法と思われます。

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
 </session-config>

ただし、開始タグに「」というエラーメッセージが表示されます」要素タイプ「session-config」の内容は「(session-timeout)?」と一致する必要があります

それが正確に何を意味するのか分かりません。私はそれが要素の順序と関係があると推測していますが、私はそれを修正する方法を本当に知りません。

何かご意見は?

ありがとう!

securitysessioncookiesweb.xmlhttponly
7
EH Khiari

セキュアおよびhttp-only属性のサポートは、http-servlet仕様3でのみ利用可能です。web.xmlのバージョン属性が「3.0」であることを確認してください。

<web-app xmlns="http://Java.Sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://Java.Sun.com/xml/ns/javaee 
            http://Java.Sun.com/xml/ns/javaee/web-app_3_0.xsd"
     version="3.0">
12
Alessandro Proscia