WebLogic 中的 Http-Only cookie:哪些版本支持它们/如何以及为什么支持它们?

WebLogic 中的 Http-Only cookie:哪些版本支持它们/如何以及为什么支持它们?

我们希望将我们 webapp 设置的所有 cookie 都设置为 http-only。我只对这样做的好处有基本的了解,但安全人员告诉我这是一件好事 (tm) 我们的应用程序在 JDK1.6.05 和 WebLogic10.3.0 下运行

在 Oracle 网站上查找了大量文档后,我发现了充分的证据,表明第一个支持 http-only cookies 的 WebLogic 版本是 10.3.1。所谓“支持”,我指的是 cookie-http-only 部署描述符元素。

在我们进行升级之前,我希望回答以下问题:

1a) WL10.3.1 是第一个支持仅 http cookie 的版本,而 10.3.0 版本就不支持了,这是真的吗?

1b) 如果我们确实需要升级,在 Windows 下是否有简单的方法?我听说有人提到一个“升级 jar”,只需将其粘贴在类路径中即可,但我找不到 Oracle 对此的任何提及。是否有简单的方法,还是我们需要完全安装新版本?

2) 启用 cookie-http-only 部署描述符元素后会做什么?它是否会确保应用程序设置的所有 cookie 都具有 http-only=true 属性?它会做更多还是更少?我需要以编程方式做什么吗?

3) 我应该了解有关仅限 http 的 cookie、如何让我的 Web 应用程序利用它们或其他安全问题的知识吗?

答案1

对于 WebLogic 10.3.0.0,您需要安装补丁 p8176461_103_Generic。

答案2

实际上,从 Weblogic9.0 版本开始,才支持 Http-only cookie。在此版本之前,此功能不可用。Http-only 限制从 javascript 获取 cookie,这样可以防止跨站点脚本攻击。

相关内容