Question

В моем файле web.xml есть следующее:

<session-config>
  <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
  </cookie-config>
  <session-timeout>15</session-timeout>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

Однако, в соответствии с прокси Zed Attack OWASP (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project), cookie по-прежнему устанавливаются Spring Security без httpOnly или безопасных флагов).

Если я разверну то же приложение в Tomcat 7, оно, похоже, выполнит эти настройки из файла web.xml.

Matt Raible · Answer 1 · 07 сентября 2012

Решение: Расположите элементы в правильном порядке:

<session-config>
    <session-timeout>15</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

Плагин Jetty Maven 8.0.0.M3 поддерживает весь сервлет 3?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Плагин Jetty Maven 8.0.0.M3 поддерживает весь сервлет 3?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы