个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
在 Servlet 3.0 投诉应用程序服务器中,我可以通过将以下内容添加到 web.xml 来设置 session cookie (JSESSIONID) 的 HttpOnly 和安全标志:
<session-config>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
但是,我正在开发的应用程序将部署在 Websphere 7 中,这是 Servlet 2.5 的问题,如果我将上述内容添加到 web.xml 中,它将无法启动
Websphere 7 配置中是否有任何其他声明方式或设置来打开 session cookie 的 HttpOnly 和安全标志?
如果没有,以编程方式实现这一目标的最佳方法是什么?
最佳答案
我认为在 WebSphere 7 中您可能必须深入研究管理控制台。与以往一样,WebSphere 文档似乎很差,但似乎建议设置 com.ibm.ws.security.addHttpOnlyAttributeToCookies属性:
Both the Secure flag and the HTTPOnly flag are enabled by setting the WebSphere Application Server property:
com.ibm.ws.security.addHttpOnlyAttributeToCookies.
我找到了this ,我希望它适用于WAS7。您可以尝试一下吗(我的系统上目前只有 WAS 8):
JSESSIONID cookie:
Secure Flag:
The Secure flag can be set within the WebSphere Application Server administrative interface by selecting AppServer->[Server Name]->Web Container Settings->Session Management. Check the checkbox for “Restrict cookies to HTTPS Sessions”.
HTTPOnly Flag:
The HTTPOnly attribute cannot currently be set on this cookie. This is registered on the IBM site as APAR PK98436. The fix for this APAR is currently targeted for inclusion in Fix Packs 6.1.0.31 and 7.0.0.9, which are not yet available. With this APAR in place, the HTTPOnly flag can be set on the JSESSIONID cookie by way of the property name: com.ibm.ws.webcontainer.httpOnlyCookies. Refer to the following technote for instructions on enabling WebContainer custom properties.
com.ibm.ws.webcontainer.httpOnlyCookies属性记录在 WAS 7 帮助站点上。
关于servlets - session cookie Websphere 7 的安全和 HttpOnly 标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9193112/
27
4
0
使用 Symfony2.3.4 和 Xampp 以及 PHP 5.6.3。 基本上我的目标是防止任何人直接通过任何管理器篡改数据库表(例如:xampp 附带的 phpmyadmin,通过 loca
我在尝试将 j_spring_security_check 作为操作添加到我的 login.jsp 时遇到问题 ' method="POST"> 这是我的表单,但是当我输入默认的 acc/pw adm
我很好奇Linux中的密码是如何保存在/etc/shadow中的。即使您有两个用户具有相同的密码,/etc/shadow 中的关联条目也是不同的。 u1 和 u2 的密码均设置为 123 u1:$6$
我是 Spring Security 的新手,我正在尝试实现自定义 UserDetailsService 进行身份验证。让我困扰的是,这个接口(interface)只包含一个方法loadUserB
如何使用 Bootstrap 设置我的 Flask 安全登录站点的样式? html 表单如下所示: {{ login_user_form.hidden_tag() }} {{ render_
我正在尝试在 Virgo 3.6.0.M03 上使用 Spring Security 3.1.3 创建一个简单示例。该示例包含 3 个包: 配置和发布 AuthenticationManager 的安
我正在使用 Spring Security,并且有一个用于验证用户名和密码的 REST API。那么如何在 Spring Security 中使用 REST API 来验证用户名和密码呢? 最佳答案
关于如何在 Nginx 中执行此操作的任何想法? 我试过用 proxy_cookie_path / "/; HTTPOnly; Secure"; 但它不起作用,尝试为 https://github.c
我有一个带有 @Secured({"ROLE_ADMIN"}) 的 struts2 Action 以保护执行方法。在 execute 方法中,我将消息分配给操作的成员变量,然后返回 SUCCESS 并
我正在使用 Spring 4 和 Thymeleaf在我的 index.xhtml 页面中,我写道: Welcome .... You ar
有没有办法在 Jersey 中以编程方式获取 session 管理或安全性,例如Web 应用程序 session 管理?还是事务、 session 和安全都由部署 Jersey 应用程序的容器处理?
我得知在 general Microsoft recommendation 之后我们的网络服务器将被重新配置;除其他事项外 allowSubDirConfig setting应设置为 false。因此
我正在创建一个信息系统来处理财务信息、联系人等。我正在使用面向对象的编程(类、函数等)从头开始开发网站。大部分数据将来自 MySQL 数据库。用户将能够获取数据并将其提交到数据库。 我已经在使用散列函
根据 this document和 this whitepaper ,有一些安全措施旨在防止被动窃听蓝牙 BLE 连接。有没有办法实现 iOS 中央管理器和外围设备之间的安全连接? 具体来说,我希望实
我在使用 spring-security 3.0.3 和 jersey 1.2 时遇到了以下问题: 当我使用@Secured 或@PreAuthorize 注释注释我的Jersey 资源时,sprin
我正在浏览我的网站并进行安全审核。我只是简单地接受了我需要清理所有用户输入的事实,但我从未真正停下来尝试过真正发生的事情。我现在开始尝试。 我在 PHP 页面上有一个典型的联系表单。这是_POST荷兰
我正在尝试创建一个 Web 应用程序,其中包含一个从 Twitter 检索第三方数据的组件。假设我已在 Twitter 上注册了我的应用程序并拥有 token : 是在我的服务器端代码上存储我的 to
最近几天我一直在寻找关于这个的文档.. 我需要使用 WSSE 安全 header 通过 SOAP 发送 XML,但不知道如何加密和存储加密 key 举个例子
有没有办法在不使用 response.setHeader 的情况下使 cookie 安全和/或仅限 http: response.setHeader("Set-Cookies", "name1=
在开发 Spring Web 应用程序时,我只是第一次实现了 Spring Security,为了简单起见,我现在使用一个有权访问站点某些部分的单个用户。它工作得很好,但我无法弄清楚我如何用 Juni
我是一名优秀的程序员,十分优秀!