IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性
IBM AppScan - Missing Secure Attribute in Encrypted Session (SSL) Cookie
根据 IBM App Scan DSAT 测试,primefaces.download 的加密会话 (SSL) Cookie 中存在缺少安全属性的问题。
Primefaces 版本为 7.0
示例示例:https://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml
primefaces.download -- 这个cookie是在我们下载文件时设置的
我们已经在 web.xml 中设置了会话配置,但是当我签入 chrome 时,primefaces.download cookie 未设置为 http-only 和受保护。
在 JBOSS 7.2 上 运行 时是否还需要做其他事情?
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
..........
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
更新:
提出问题
https://github.com/primefaces/primefaces/issues/6040
已提交解决 9.0-SNAPSHOT 中问题的合并请求。
根据 IBM App Scan DSAT 测试,primefaces.download 的加密会话 (SSL) Cookie 中存在缺少安全属性的问题。
Primefaces 版本为 7.0
示例示例:https://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml
primefaces.download -- 这个cookie是在我们下载文件时设置的
我们已经在 web.xml 中设置了会话配置,但是当我签入 chrome 时,primefaces.download cookie 未设置为 http-only 和受保护。
在 JBOSS 7.2 上 运行 时是否还需要做其他事情?
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
..........
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
更新: 提出问题 https://github.com/primefaces/primefaces/issues/6040
已提交解决 9.0-SNAPSHOT 中问题的合并请求。