У нас есть проблема с отсутствующим атрибутом безопасности в зашифрованном сеансе (SSL) Cook ie для Primefaces.download на основе теста IBM App Scan DSAT.
Версия Primefaces - 7.0
Пример примера: https://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml
primefaces.download - эти файлы cookie устанавливаются, когда мы загружаем файл
У нас уже есть конфигурация сеанса в в Интернете. xml, но когда я проверяю chrome, primefaces.download cook ie не настроен как http-only и защищен.
Требуется ли что-нибудь еще при запуске на JBOSS 7.2?
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0"> .......... <session-config> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> <tracking-mode>COOKIE</tracking-mode> </session-config>
Обновлено: Проблема поднята https://github.com/primefaces/primefaces/issues/6040
Отправлен запрос на извлечение для устранения проблемы в 9.0-SNAPSHOT.
https://github.com/primefaces/primefaces/pull/6041