那些遇到过的问题

在web.xml中设置'HttpOnly'和'Secure'

EH *_*ari 7 security cookies session web.xml httponly

我需要将'HttpOnly'和'Secure'属性设置为'true'以防止CWE-614:HTTPS会话中的敏感Cookie而没有'安全'属性CWE-402:将私有资源传输到新的Sphere漏洞显示在Veracode报告中.

在进行一些在线搜索之后,最好的办法是简单地在项目的web.xml文件中设置属性,如下所示:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
 </session-config>
Run Code Online (Sandbox Code Playgroud)

但是,我在开始标记上收到一条错误消息,说"元素类型的内容"session-config"必须匹配"(session-timeout)?".

我不确定这究竟是什么意思.我猜它与元素的顺序有关,但我真的不知道如何修复它.

有什么想法吗?

谢谢!

小智 12

对secure-http-only属性的支持仅在http-servlet规范3上可用.检查web.xml中的version属性是否为"3.0".

<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
            http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
     version="3.0">
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

16608 次

最近记录:

8 年,3 月 前
相关归档
ASP.NET中的默认会话超时值是多少? 14
最安全的许可软件方式 8
设置NodeJS cookie头的HttpOnly属性 7
FLAG_WINDOW_IS_OBSCURED 不适用于较新的 Android 7
使用代码洞穴注入64位DLL 6
在swagger中设置自定义cookie和用户代理值 5
Javascript fetch 未发送 Cookie 标头 (CORS) 5
我们可以将带有httpclient lib的cookie用于Clojure 4
在root(linux)上对bruteforce攻击进行自动阻止ip 3
操作系统命令注入安全威胁 2
难疑归档
如何在JavaScript中验证电子邮件地址? 4099
如何在JavaScript中创建字符串大写的第一个字母? 3565
event.preventDefault()与return false 2891
Git获取远程分支 2088
Java中的"实现Runnable"与"扩展线程" 2023
什么是NullReferenceException,我该如何解决? 1876
Python join:为什么是string.join(list)而不是list.join(string)? 1669
在JavaScript中解析JSON? 1642
Promises和Observables有什么区别? 1291
如何使用Sublime Text 2重新格式化HTML代码? 1282