关于X5.2.7设置HttpOnly的问题

haodoyoudo78950

我在X5平台中的tomcat配置文件中的
context.XML 配置了<Context useHttpOnly="true">
web.XML 配置了<cookie-config><http-only>true</http-only></cookie-config>
--------------------------------------------------------------------------------
但是cookies还是没有显示httponly
  
想请教下X5平台中还需要在那里设置才可以？

liangyongfei

527以前版本建议在BeX5提问！

jishuang

具体需求要做什么？

haodoyoudo78950

jishuang 发表于 2016-6-16 18:58
具体需求要做什么？

需求就是可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。看或变更用户记录以及执行事务。

haodoyoudo78950

liangyongfei 发表于 2016-6-16 18:17
527以前版本建议在BeX5提问！

那帖子可以转到BEx5中吗，还是 我在BEx5中重新发一回帖

jishuang

帖子现在就在BeX5板块中，这个应该就是tomcat的标准设置，x5中应该不需要设置，这个需要跟相关人员确认一下，相关人员下午不在，下周一确认后回复

haodoyoudo78950

jishuang 发表于 2016-6-17 16:23
帖子现在就在BeX5板块中，这个应该就是tomcat的标准设置，x5中应该不需要设置，这个需要跟相关人员确认一下 ...

我在tomcat设置了，没起作用。

jishuang

这个是tomcat的特性应该可以，或者在\apache-tomcat\conf\server.xml的 <Context processTlds="false" docBase="../../runtime/UIServer" path="/x5" reloadable="false"> 中配置


看配置是否起作用，可以F12打开浏览器的开发人员调试工具，在console中输入document.cookie，看看结果中是否有JSESSIONID，没有JSESSIONID说明就是起作用的

haodoyoudo78950

jishuang 发表于 2016-6-20 14:09
这个是tomcat的特性应该可以，或者在\apache-tomcat\conf\server.xml的  中配置

我刚才试了一下，在server.xml中的context节点中增加了 useHttpOnly="true"，但是依旧没有起作用。

jishuang

看配置是否起作用，可以F12打开浏览器的开发人员调试工具，在console中输入document.cookie，看看结果中是否有JSESSIONID，没有JSESSIONID说明就是起作用的

而且这个是tomcat的配置，平台不会去控制，可以用tomcat默认带的web案例测试，或者自己写一个web应用测试