security - fileDownloaded cookie 通过安全连接发送，但未设置 "secure"属性

Question

对我的 tomcat 安装执行的安全扫描报告了这个问题:

fileDownloaded cookie 通过安全连接发送，但未设置“安全”属性。 “secure”属性告诉浏览器只通过受 SSL 保护的连接传输 cookie。这可以防止值被无意中通过未加密的 HTTP 连接发送。

我已经在 server.xml 中设置了 secure="true"并在 context.xml 中设置了 useHttpOnly="true"

这解决了所有实际页面上的问题，它们现在都在 header 中显示 Set Cookie secure

但是这个文件下载的 cookie 是报告问题的最后一个挥之不去的位。

我到处搜索，似乎找不到任何其他人遇到此问题的引用资料。

我开始怀疑这是否真的是 iPlanet Web 服务器而非 Tomcat 应用服务器的配置问题

请求

GET ------ HTTP/1.1
Host: www
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
Cookie: JSESSIONID=*****
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: en-US,en;q=0.5
Referer: https://********dashboard.page
Connection: keep-alive
Content-Length: 0

回应

HTTP/1.1 200 OK
Server: none
Date: Sun, 23 Aug 2015 05:08:05 GMT
X-frame-options: SAMEORIGIN
Location:
Proxy-agent: Oracle-iPlanet-Web-Server/7.0
Content-disposition: attachment; filename="table_export.xls"
Set-cookie: fileDownloaded=true;Version=1
Content-type: application/vnd.ms-excel
Via: 1.1 *******
Content-Length: 4608

Answer 1

Tomcat 从不设置名为 fileDownloaded 的 cookie:这是一个应用程序问题。

如果您希望您的 cookie 设置“安全”标志，则需要确保您自己设置了它:

Cookie cookie = new Cookie("fileDownloaded", "true");
cookie.setVersion(1);
cookie.setSecure(true);
response.addCookie(cookie);

在设置该标志之前，您可能需要检查当前连接实际上是安全的。