我们希望将我们 webapp 设置的所有 cookie 都设置为 http-only。我只对这样做的好处有基本的了解,但安全人员告诉我这是一件好事 (tm) 我们的应用程序在 JDK1.6.05 和 WebLogic10.3.0 下运行
在 Oracle 网站上查找了大量文档后,我发现了充分的证据,表明第一个支持 http-only cookies 的 WebLogic 版本是 10.3.1。所谓“支持”,我指的是 cookie-http-only 部署描述符元素。
在我们进行升级之前,我希望回答以下问题:
1a) WL10.3.1 是第一个支持仅 http cookie 的版本,而 10.3.0 版本就不支持了,这是真的吗?
1b) 如果我们确实需要升级,在 Windows 下是否有简单的方法?我听说有人提到一个“升级 jar”,只需将其粘贴在类路径中即可,但我找不到 Oracle 对此的任何提及。是否有简单的方法,还是我们需要完全安装新版本?
2) 启用 cookie-http-only 部署描述符元素后会做什么?它是否会确保应用程序设置的所有 cookie 都具有 http-only=true 属性?它会做更多还是更少?我需要以编程方式做什么吗?
3) 我应该了解有关仅限 http 的 cookie、如何让我的 Web 应用程序利用它们或其他安全问题的知识吗?
答案1
对于 WebLogic 10.3.0.0,您需要安装补丁 p8176461_103_Generic。
答案2
实际上,从 Weblogic9.0 版本开始,才支持 Http-only cookie。在此版本之前,此功能不可用。Http-only 限制从 javascript 获取 cookie,这样可以防止跨站点脚本攻击。