【问题标题】:JSESSIONID HttpOnly in Weblogic 10.3Weblogic 10.3 中的 JSESSIONID HttpOnly
【发布时间】:2014-08-01 06:41:22
【问题描述】:

我正在尝试在 Weblogic 10.3 中为 JSESSIONID 设置 http-only 标志

显然在session-descriptor 下有一个名为cookie-http-only 的参数可以在Weblogic 9 中完成此操作,但Weblogic 10.3 缺少此参数。有没有其他选择?

我在某处读到 WL 10 HttpOnly 标志是默认设置的,但在我的情况下似乎并非如此。有人试图在 WL 10.3.5 here 中关闭 HttpOnly 标志

谢谢

weblogic.xml的内容我正在使用

<wls:weblogic-web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wls="http://www.bea.com/ns/weblogic/90" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd http://www.bea.com/ns/weblogic/90 http://www.bea.com/ns/weblogic/90/weblogic-web-app.xsd">
  <wls:context-root>/</wls:context-root>
  <wls:container-descriptor>
    <wls:prefer-web-inf-classes>true</wls:prefer-web-inf-classes>
  </wls:container-descriptor>
  <wls:session-descriptor>
    <wls:cookie-secure>true</wls:cookie-secure>
    <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
    <wls:cookie-http-only>true</wls:cookie-http-only>
  </wls:session-descriptor>
</wls:weblogic-web-app>

【问题讨论】:

    标签: java weblogic jsessionid httponly


    【解决方案1】:

    在 10.3 的更高版本中没有丢失它。但是,它可能在 10.3 的第一个版本中已经丢失。

    https://serverfault.com/questions/151107/http-only-cookies-in-weblogic-what-versions-support-them-how-and-why-are-they-s

    在此处查看 10.3.6 的文档以查看它确实存在:

    http://docs.oracle.com/cd/E23943_01/web.1111/e13712/weblogic_xml.htm#i1071981

    我会建议获取 10.3 的最新和最好的补丁。

    【讨论】:

      猜你喜欢
      • 2011-09-19
      • 1970-01-01
      • 2011-03-21
      • 1970-01-01
      • 1970-01-01
      • 2013-01-29
      • 2014-06-11
      • 2012-12-12
      • 1970-01-01
      相关资源
      最近更新 更多