Tomcat 7 plik cookie sessionid wyłączanie tylko protokołu http i bezpieczne

Question

Mam aplikację internetową działającą na serwerze Tomcat 7. Plik cookie z identyfikatorem sesji ma domyślnie flagi HttpOnly i Secure. Chcę wyłączyć te flagi dla pliku cookie JSESSIONID. Ale to nie zadziała. Zmieniłem to w moim pliku web.xml, ale nie działa.

<session-config> 
    <session-timeout>20160</session-timeout> 
    <cookie-config> 
     <http-only>false</http-only> 
     <secure>false</secure> 
    </cookie-config> 
</session-config> 

wiem, że to zagrożenie dla bezpieczeństwa, ponieważ atakujący jest w stanie ukraść ciasteczko i przejąć sesję gdyby znalazł vuln XSS.

Plik cookie należy wysłać przy użyciu protokołu HTTP i HTTPS oraz żądań AJAX.

Edit:

Mam powodzeniem wyłączona flagę HttpOnly dodając następującą opcję do pliku conf/context.xml:

<Context useHttpOnly="false"> 
.... 
</Context> 

Answer 1

nie znalezienia rozwiązania w Tomcat do tego, ale jeśli was” ponownie użyj Apache jako odwrotnego proxy, możesz zrobić:

Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1" 

z mod_headers, który zlikwiduje nagłówek w drodze powrotnej, aby usunąć bezpieczną flagę. Nie ładne, ale działa, jeśli jest to krytyczne.

Answer 2

Oprócz rozwiązania George'a Powella powyżej dla Apache, jeśli jesteś na IIS, można go rozwiązać w następujący sposób:

1. Zainstalować moduł URL Rewrite IIS
2. Dodaj następujące wpisy do pliku web.config

<rewrite> 
 
    <outboundRules> 
 
    <rule name="RemoveSecureJessionID"> 
 
     <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*JSESSIONID.*)Secure;(.*)$" /> 
 
     <action type="Rewrite" value="{R:1}{R:2}" /> 
 
    </rule> 
 
    </outboundRules> 
 
</rewrite>

To rozwiązanie pochodziło z wersji Pete Freitag's blog

Jak wspomniano powyżej, od czasu ostatniej aktualizacji Chrome (styczeń 2017 r.) Stało się to problemem.