我们希望通过我们的networking应用程序http-only来设置所有cookie。 我只对这样做的好处有一个基本的了解,但是我被安全人员告知,这是一件好事(tm)我们的应用程序运行在JDK1.6.05和WebLogic10.3.0
在深入了解Oracle网站的文档之后,我发现了很好的证据表明WebLogic支持http-only cookies的第一个版本是10.3.1。 通过“支持”,我的意思是cookie-http-only部署描述符元素。
在升级之前,我会很高兴回答这些问题:
1a)WL10.3.1是否是第一个支持http-only cookies的版本,而且我们对10.3.0感到不幸,这是否准确呢?
1b)如果我们确实需要升级,在Windows下有没有这样做容易? 我听说有人提到一个“升级瓶”,你只是坚持在类path中,但我找不到任何这方面的提及。 有一个简单的方法存在,还是我们需要做一个完整的安装新版本?
2)启用cookie-http-only部署描述符元素时会做什么? 它会确保应用程序设置的所有Cookie都具有http-only = true属性吗? 它会做更多还是更less? 有什么我必须做的编程?
3)有什么一般我应该知道的只有http的cookie,让我的networking应用程序利用他们,或其他安全问题?
对于WebLogic 10.3.0.0,您需要安装补丁p8176461_103_Generic。
Weblogic9.0版本实际上支持Http的cookie。 在此版本之前,这是不可用的。 Http只限于从JavaScript获取cookie,这样就可以保护您免受跨站脚本攻击。