"안전한"세션 쿠키를 설정하고 싶지만 상위 환경의 일부 테스트 상자 및 https에서 http로 앱에 액세스 할 수 있어야합니다. 내가 쿠키 보안에 JSESSIONID를 설정하고있다 = 사실이 방법weblogic jsessionid 쿠키 보안
:
weblogic.xml의 :
<session-descriptor>
<cookie-http-only>true</cookie-http-only>
<cookie-secure>true</cookie-secure>
</session-descriptor>
HTTPS 요청이 잘 작동하지만 비 SSL 프로토콜에 대한 모든 요청은 새로운 JSESSIONID를 얻을 수 있습니다. 조건부로 쿠키 보안을 설정할 때 사용할 수있는 다른 설정이 있습니까?
당신에게 @SudhirE 감사 참조하십시오. 설명이 의미가 있습니다. 응용 프로그램이 실수로 일부 페이지의 http 링크를 씁니다. 세션 하이재킹이 열릴 것입니까? 이것이 비보안 세션 쿠키를 사용하지 않는 원래의 이유입니다 - "잘못된 구성". MiM은 JSESSIONID와 _WL_AUTHCOOKIE_JSESSIONID를 모두 필요로 하는가? – Elijah