web-dev-qa-db-fra.com

Définition de «HttpOnly» et «Secure» dans web.xml

J'ai besoin que les attributs 'HttpOnly' et 'Secure' soient définis sur 'true' pour empêcher --- CWE-614: Cookie sensible dans la session HTTPS sans attribut 'Secure' et CWE-402 : Transmission des ressources privées dans une nouvelle sphère défauts apparaissant dans le rapport Veracode.

Après avoir effectué une recherche en ligne, il semble que la meilleure chose à faire est de simplement définir les attributs dans le fichier web.xml du projet comme suit:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
 </session-config>

Cependant, je reçois un message d'erreur sur la balise d'ouverture disant que "Le contenu du type d'élément" session-config "doit correspondre" (session-timeout)? ".

Je ne sais pas exactement ce que cela signifie. Je suppose que cela a quelque chose à voir avec l'ordre des éléments, mais je ne sais pas vraiment comment y remédier.

Des pensées?

Merci!

securitysessioncookiesweb.xmlhttponly
7
EH Khiari

La prise en charge de l'attribut sécurisé et http uniquement est disponible uniquement sur la spécification http-servlet 3. Vérifiez que l'attribut de version dans votre web.xml est "3.0".

<web-app xmlns="http://Java.Sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://Java.Sun.com/xml/ns/javaee 
            http://Java.Sun.com/xml/ns/javaee/web-app_3_0.xsd"
     version="3.0">
12
Alessandro Proscia