Флаг httpOnly не работает с использованием Apache mod_headers

Я написал это правило, чтобы добавить флаг httpOnly к каждому файлу cookie, но в результате введите здесь описание изображения.

Что не так с правилом? Редактирование заголовка Set-Cookie ^(.*)$ $1;HttpOnly;Secure

[EDIT] Я пытался сделать это на бэкэнде, но он использует сервлет 2.4 и jboss4. Но требуемый минимум — это сервлет 3.0.


setcookie cookie-httponly apache httponly mod-headers
person André Luís Oliveira    schedule 04.07.2020    source источник
comment
Я настоятельно рекомендую зарезервировать настройку любых файлов cookie для использования языков сценариев, а не Apache. Apache обновляется намного реже, чем даже медленно развивающиеся языки программирования. При этом может быть способ сделать это, хотя я просто не могу рекомендовать полагаться на Apache во всем.   -  person John    schedule 04.07.2020
comment
какой внутренний сервер вы используете? Этот параметр рекомендуется использовать только с соединителем SSL.   -  person Pandurang    schedule 04.07.2020
comment
@Pandurang Я отредактировал сообщение. Это java6, но проблема в том, что версия сервлета 2.4.   -  person André Luís Oliveira    schedule 06.07.2020
comment
@John, я пытался сделать это на бэкэнде, но версия сервлета была препятствием   -  person André Luís Oliveira    schedule 06.07.2020
comment
Я программирую PHP, а не Java, хотя, если они похожи, вместо использования функции PHP setcookie, специфичной для файлов cookie, я бы просто использовал вместо этого функцию PHP header(). Наверняка в Java есть функции, позволяющие полностью определять заголовки?   -  person John    schedule 07.07.2020
comment
@John Действительно есть, но Apache показался проще, поэтому я приложил к этому усилия   -  person André Luís Oliveira    schedule 07.07.2020

Ответы (1)


arrow_upward
0
arrow_downward

Вы хотите отредактировать заголовок JSessionID? Если да, то вам нужно использовать то же точное имя в заголовке. то есть

Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
person Pandurang    schedule 06.07.2020
comment
Я хочу, чтобы каждый файл cookie был помечен как httpOnly - person André Luís Oliveira; 06.07.2020
comment
Вы можете обратиться к stackoverflow.com/questions/29146465/ настроить JBoss 4.0.*, чтобы сделать файл cookie сеанса только HTTP и безопасным. - person Pandurang; 06.07.2020
comment
Я пытался изменить XML-файл съел Jboss4, но безуспешно. - person André Luís Oliveira; 06.07.2020
comment
Для какого файла cookie вы хотите установить HttpOnly? JessionId или любой другой? JBoss создает файл cookie JSessionID по умолчанию. вы создаете cookie в коде? Если да, то вам нужно добавить httponly на уровне кода - person Pandurang; 07.07.2020
comment
для всех файлов cookie. Но я бы хотел знать, почему стратегия Apache не сработала. - person André Luís Oliveira; 07.07.2020
comment
Не могли бы вы использовать всегда и проверить. то есть Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure - person Pandurang; 10.07.2020