Безопасные и HttpOnly флаги для сеанса cookie Websphere 7

на серверах приложений жалоб Servlet 3.0 я могу установить флаги HttpOnly и secure для cookie сеанса (JSESSIONID), добавив следующее В интернет.XML-код:

<session-config>
  <cookie-config>
    <secure>true</secure>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

однако приложение, над которым я работаю, должно быть развернуто в Websphere 7, который является жалобой сервлета 2.5, и он не запускается, если я добавлю вышеизложенное в интернет.в XML

есть ли другой декларативный способ или параметр в конфигурации Websphere 7 для включения флагов HttpOnly и secure для cookie сеанса?

если нет, каков был бы лучший подход для выполнения этого программно?

3 ответов


Я думаю, что в WebSphere 7 вам, возможно, придется углубиться в административную консоль. Как всегда в документации WebSphere кажется бедной, но, кажется, предлагают установить ком.корпорация IBM.с WS.безопасности.addHttpOnlyAttributeToCookies свойства:

флаг Secure и флаг HTTPOnly включены, задав свойство WebSphere Application Server: com.ibm.ws.security.addHttpOnlyAttributeToCookies.

нашел этой, который, я надеюсь, применим к WAS7. Можешь попробовать? пожалуйста (у меня только было 8 на данный момент в моей системе):

JSESSIONID cookie-файлах:

Флаг Secure:

флаг безопасности можно установить в WebSphere Application Server административный интерфейс, выбрав AppServer - >[имя сервера] - >Web Настройки Контейнера - >Управление Сеансами. Установите флажок "Ограничить cookies сеансами HTTPS".

HTTPOnly Флаг:

атрибут HTTPOnly в настоящее время не может быть установлен в этом файле cookie. Этот зарегистрирован на сайте IBM как APAR PK98436. Исправление для этого APAR в настоящее время предназначен для включения в пакеты исправлений 6.1.0.31 и 7.0.0.9, которые пока недоступны. С этим APAR на месте, HTTPOnly флаг можно установить в файле cookie JSESSIONID с помощью имени свойства: ком.корпорация IBM.с WS.webcontainer.httpOnlyCookies. Обратитесь к следующей техническое примечание для получения инструкций по включению WebContainer пользовательские свойства.

на ком.корпорация IBM.с WS.webcontainer.httpOnlyCookies свойства описаны на сайте 7 помочь.


чтобы установить безопасный флаг в файл cookie JSESSIONID (то же самое для WebSphere 7.x и 8.x):

  • войдите в WebSphere admin console
  • перейти к сервер > типы серверов > серверы приложений WebSphere
  • нажмите на имя сервера (по умолчанию server1)
  • нажмите на ссылку настройки веб-контейнера > веб-контейнер
  • нажмите на ссылку сессии Управление
  • нажмите на ссылку Включить Cookies. Это немного сбивает с толку, ты должен ... нажмите на текст не на флажке
  • выберите опцию (флажок) ограничить cookies сеансами HTTPS
  • сохранить изменения

для установки флага HttpOnly в WebSphere 8.x для jsessionid cookie

  • войти войдите в WebSphere admin консоль
  • перейти к сервер > типы серверов > серверы приложений WebSphere
  • нажмите на имя сервера (по умолчанию server1)
  • нажмите на ссылку настройки веб-контейнера > веб-контейнер
  • нажмите на ссылку Управление Сеансами
  • нажмите на ссылку Включить Cookies. Это немного немного запутанно, вы должны нажать на текст не на флажке
  • выберите опция (флажок) установите файлы cookie сеанса в HTTPOnly, чтобы предотвратить атаки межсайтовых сценариев
  • сохранить изменения

для установки флага HttpOnly в WebSphere 7.x для jsessionid cookie

  • войдите в WebSphere admin console
  • перейти к сервер > типы серверов > серверы приложений WebSphere
  • нажмите на имя сервера (по умолчанию server1)
  • нажмите на ссылку настройки веб-контейнера > веб-контейнер
  • нажмите на ссылку Пользовательские Proprties
  • нажать на кнопку New
  • Enter имя: com.ibm.ws.webcontainer.httpOnlyCookiesстоимостью:* (HttpOnly будет установлен на всех cookies не только JSESSIONID)
  • нажать на кнопку OK
  • сохранить изменения

в WebSphere 7, Вы можете найти это в консоли администрирования в разделе сервера>серверы приложений WebSphere>[Имя Сервера]>управление сеансами (в разделе "Настройки контейнера")>включить cookies>ограничить cookies сеансами HTTPS.