在 web.xml 中设置 'HttpOnly' 和 'Secure'
Setting 'HttpOnly' and 'Secure' in web.xml
我需要将 'HttpOnly' 和 'Secure' 属性设置为 'true' 以防止 CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute and CWE-402: Transmission of Private Resources into a New Sphere 缺陷显示在 Veracode 报告中。
在网上搜索了一下,似乎最好的办法就是在项目的web.xml文件中简单地设置属性如下:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
但是,我在开始标记上收到一条错误消息,指出 "The content of element type "session-config" must match "(session-timeout)?".
我不确定这到底是什么意思。我猜它与元素的顺序有关,但我真的不知道如何解决它。
有什么想法吗?
谢谢!
安全和 http-only 属性的支持仅适用于 http-servlet 规范 3. 检查 web.xml 中的版本属性是否为“3.0”。
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">
我需要将 'HttpOnly' 和 'Secure' 属性设置为 'true' 以防止 CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute and CWE-402: Transmission of Private Resources into a New Sphere 缺陷显示在 Veracode 报告中。
在网上搜索了一下,似乎最好的办法就是在项目的web.xml文件中简单地设置属性如下:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
但是,我在开始标记上收到一条错误消息,指出 "The content of element type "session-config" must match "(session-timeout)?".
我不确定这到底是什么意思。我猜它与元素的顺序有关,但我真的不知道如何解决它。
有什么想法吗?
谢谢!
安全和 http-only 属性的支持仅适用于 http-servlet 规范 3. 检查 web.xml 中的版本属性是否为“3.0”。
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">