"안전한"세션 쿠키를 설정하고 싶지만 상위 환경의 일부 테스트 상자 및 https에서 http로 앱에 액세스 할 수 있어야합니다. 내가 쿠키 보안에 JSESSIONID를 설정하고있다 = 사실이 방법weblogic jsessionid 쿠키 보안
:
weblogic.xml의 :
<session-descriptor>
<cookie-http-only>true</cookie-http-only>
<cookie-secure>true</cookie-secure>
</session-descriptor>
HTTPS 요청이 잘 작동하지만 비 SSL 프로토콜에 대한 모든 요청은 새로운 JSESSIONID를 얻을 수 있습니다. 조건부로 쿠키 보안을 설정할 때 사용할 수있는 다른 설정이 있습니까?
JSESSIONID 쿠키를 안전하게 만들 필요는 없습니다. 인증 쿠키 사용 플래그가 선택되어 있으면 웹 로직 콘솔의 기본값입니다.
AuthCookieEnabled를 true로 설정하면 HTTPS 연결을 통해 인증 할 때 WebLogic Server 인스턴스가 _WL_AUTHCOOKIE_JSESSIONID라는 새로운 보안 쿠키 _WL_AUTHCOOKIE_JSESSIONID를 브라우저로 전송합니다. 보안 쿠키가 설정되면 브라우저는 쿠키가 브라우저에서 전송 된 경우에만 보안이 제한된 다른 HTTPS 리소스에 액세스 할 수 있습니다.
따라서 WebLogic Server는 JSESSIONID 쿠키와 _WL_AUTHCOOKIE_JSESSIONID 쿠키의 두 가지 쿠키를 사용합니다. 기본적으로 JSESSIONID 쿠키는 안전하지 않지만 _WL_AUTHCOOKIE_JSESSIONID 쿠키는 항상 안전합니다. 보안 쿠키는 암호화 된 통신 채널이 사용 중일 때만 전송됩니다. 표준 HTTPS 로그인 (HTTPS는 암호화 된 HTTP 연결)을 가정하면 브라우저는 두 쿠키를 모두 가져옵니다.
대한 추가 정보를 원하시면 http://docs.oracle.com/cd/E23943_01/web.1111/e13711/thin_client.htm#autoId4
당신에게 @SudhirE 감사 참조하십시오. 설명이 의미가 있습니다. 응용 프로그램이 실수로 일부 페이지의 http 링크를 씁니다. 세션 하이재킹이 열릴 것입니까? 이것이 비보안 세션 쿠키를 사용하지 않는 원래의 이유입니다 - "잘못된 구성". MiM은 JSESSIONID와 _WL_AUTHCOOKIE_JSESSIONID를 모두 필요로 하는가? – Elijah