【问题标题】:Oracle Apex view settings for HttpOnly and Secure flagsHttpOnly 和 Secure 标志的 Oracle Apex 视图设置
【发布时间】:2021-12-30 00:09:06
【问题描述】:

根据下面的链接,当前版本的 Oracle Apex cookie 支持或自动设置为仅 HTTP

https://community.oracle.com/tech/developers/discussion/4060471/httponly-and-secure-flags-in-session-cookie-and-all-cookies-for-oracle-apex-application

现在,我们进行了安全扫描,如果应用程序仅使用 HTTP,则需要提供证据。有没有办法可以查看这个?或者是否有任何来自 Oracle 的合法文档可以参考以支持链接上的声明?我的 Oracle Apex 21.1.6

【问题讨论】:

  • 您使用的是哪个Oracle数据库版本?
  • 你能检查一下这个信息吗? owasp.org/www-community/HttpOnly
  • 这是@RobertoHernandez 的版本:Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Version 19.13.0.1.0

标签: oracle oracle-apex apex apex-code


【解决方案1】:

使用 Burp Suite - 应用程序安全测试软件 后,此问题已得到解决。将流程重新运行到Repeater,然后是的,它显示在那里:

【讨论】:

  • 正如目前所写,您的答案尚不清楚。请edit 添加其他详细信息,以帮助其他人了解这如何解决所提出的问题。你可以找到更多关于如何写好答案的信息in the help center
【解决方案2】:

此外,从 JEE 6 开始,通过在部署描述符 WEB-INF/web.xml 中应用以下配置,在会话 cookie 中设置 HttpOnly 标志也很容易声明:

<session-config>
   <cookie-config>
    <http-only>true</http-only>
   </cookie-config>
</session-config>

【讨论】:

  • 我实际上只是一个工作区开发人员。有什么方法可以查看吗?
  • APEX 是在 Oracle Cloud 中运行还是在本地运行?
  • 在 Oracle 云中
猜你喜欢
  • 2013-04-10
  • 1970-01-01
  • 2017-11-17
  • 2012-12-12
  • 1970-01-01
  • 2013-02-13
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多