用 Java 解决“加密会话 (ssl) cookie 中缺少安全属性”

【问题标题】:Solve "missing secure attribute in encrypted session (ssl) cookie" with Java用 Java 解决“加密会话 (ssl) cookie 中缺少安全属性”
【发布时间】:2018-11-15 22:41:04
【问题描述】:

最近,IBM Security AppScan 发现了一个问题,即加密会话 (ssl) cookie 中缺少安全属性。报告如下:

这个应用程序是 Java 代码,我添加了一个过滤器来设置所有 cookie 的安全,代码:

public class BasicFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) servletRequest;
    Cookie[] cookies = req.getCookies();
    HttpServletResponse resp = (HttpServletResponse) servletResponse;
    if( cookies != null && cookies.length > 0) {
        for (int i = 0; i < cookies.length; i++) {
            cookies[i].setSecure(true);
            cookies[i].setHttpOnly(true);
            resp.addCookie(cookies[i]);
        }
    }
    filterChain.doFilter(req,resp);
}

@Override
public void destroy() {

}

}

它在所有 cookie 响应两次这样的情况下有效,它会尝试一遍又一遍地登录(使用 SSO 登录):

感谢您的帮助以及如何启用安全和解决 cookie 问题,希望你们能给我一些解决此问题的想法。 谢谢!

【问题讨论】:

  • 另外,大部分 cookie 是由单点登录(sso)设置的,当我在本地测试时,由于我没有在本地启用 sso,所以没有 cookie 问题,希望这条消息能帮助你。

标签: java security cookies bluemix-app-scan


【解决方案1】:

IBM 支持论坛中也发布了相同的问题。您应该研究配置修复。请看这里

https://www.ibm.com/support/pages/1505-ifix-po05616-missing-secure-attribute-encrypted-session-ssl-cookie-and-missing-httponly-session-cookie

【讨论】:

    猜你喜欢
    • 2013-09-10
    • 2023-03-31
    • 1970-01-01
    • 2012-04-07
    • 1970-01-01
    • 2015-04-09
    • 2016-01-22
    • 2017-04-22
    • 2021-12-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode