установить безопасный сеанс cookie и httpOnly для LFR_SESSION_STATE_%

Окружающая обстановка :

  1. Liferay 6.2 с Jboss

Мы пытаемся реализовать httponly и безопасный.

Для этого у нас есть некоторые изменения, как показано ниже.

Добавлено в Portal-ext.properties:

cookie.http.only.names.excludes=

а также

Добавлены следующие свойства в ROOT.war/WEB-INF/web.xml

     <session-config>
      <cookie-config>
       <http-only>true</http-only>
       <secure>true</secure>
      </cookie-config>
     </session-config>

Я вижу, что все файлы cookie сеанса имеют формат только http, кроме тех, которые начинаются с LFR_SESSION_STATE_

Может ли кто-нибудь предложить, как мы можем справиться с этим.


java cookie-httponly jboss liferay-6.2
person mahesh    schedule 01.10.2015    source источник

Ответы (1)


arrow_upward
1
arrow_downward

LFR_SESSION_STATE_ — это файлы cookie, которые явно обрабатываются на стороне клиента, а не на стороне сервера, поэтому доступ к ним по своей сути осуществляется только через JS. Насколько я знаю, они никогда даже не сохранялись на стороне сервера. И я не ожидаю никакой реальной утечки из этих файлов cookie. По моему мнению, файлы cookie предназначены для определения состояния качества «должен ли этот элемент справки отображаться с полным текстом или просто свернутым».

person Sudesh Kantila    schedule 20.01.2016