Mam aplikację internetową działającą na serwerze Tomcat 7. Plik cookie z identyfikatorem sesji ma domyślnie flagi HttpOnly
i Secure
. Chcę wyłączyć te flagi dla pliku cookie JSESSIONID
. Ale to nie zadziała. Zmieniłem to w moim pliku web.xml
, ale nie działa.Tomcat 7 plik cookie sessionid wyłączanie tylko protokołu http i bezpieczne
<session-config>
<session-timeout>20160</session-timeout>
<cookie-config>
<http-only>false</http-only>
<secure>false</secure>
</cookie-config>
</session-config>
wiem, że to zagrożenie dla bezpieczeństwa, ponieważ atakujący jest w stanie ukraść ciasteczko i przejąć sesję gdyby znalazł vuln XSS.
Plik cookie należy wysłać przy użyciu protokołu HTTP i HTTPS oraz żądań AJAX.
Edit:
Mam powodzeniem wyłączona flagę HttpOnly
dodając następującą opcję do pliku conf/context.xml
:
<Context useHttpOnly="false">
....
</Context>
Proszę zamknąć to pytanie, masz odpowiedź. Dzięki. – eze1981
Czy dowiedziałeś się, jak wyłączyć zabezpieczenia? – wutzebaer
Najnowsza aktualizacja Chrome sprawia, że jest to bardzo ważne! https://chromium.googlesource.com/chromium/src/+/a26e439d02baa9514b09c637bf5fa9f6790c4c3e –