1. дома
  2. Вопрос и ответ
  3. поведение cookie по умолчанию по SSL

поведение cookie по умолчанию по SSL

2014-10-14 4 views
2

Мое веб-приложение полностью использует SSL. Я хотел некоторую информацию о следующих пунктах:поведение cookie по умолчанию по SSL

  1. Я просто хотел бы знать, что есть какой-то шанс печенья делилось на HTTP, а не на защищенном HTTPS.

  2. Или если приложение использует SSL, то каким будет поведение cookie по умолчанию. Они будут передаваться через HTTP или HTTPS.

  3. Должен ли я сделать дополнительную настройку, если я хочу, чтобы все куки были разделены только через HTTPS.

  4. Как сделать эти настройки (если требуется) для приложения java.

  5. Как выглядит безопасное куки. Будет ли оно видимым зашифрованным или вообще не будет видно.

В моем приложении я использую Mozilla добавить на: поджигатель, чтобы проверить, что все куки защищены .. Я могу видеть, что некоторые из печенья обеспечены и некоторые из них не являются. Итак, как это работает. Я не использую какое-либо конкретное свойство, чтобы защитить несколько файлов cookie.

источник

2014-10-14 Onki

+0

См. Также: http://stackoverflow.com/questions/4578506/servlet-set-cookie-secure – mjn

ответ

3

В Servlet 3.0 совместимых серверов приложений можно установить Http только и безопасные флаги для куки сессии (JSESSIONID), добавив следующее в web.xml:

<session-config> 
    ... 
    <cookie-config> 
     <http-only>true</http-only> 
     <secure>true</secure> 
    </cookie-config> 
</session-config>

Secure and HttpOnly flags for session cookie Websphere 7 См

Для другое печенье, вы можете установить флаг secure:

setSecure(boolean flag) общественного вакуум

Указывает, следует ли отправлять cookie только с помощью защищенного протокола , такого как HTTPS или SSL.

http://docs.oracle.com/javase/7/docs/api/java/net/HttpCookie.html#setSecure%28boolean%29

Безопасные куки не используйте (дополнительный) шифрование. Транспортный уровень SSL/TLS обеспечивает шифрование для HTTPS, поэтому протокол HTTP, включая файлы cookie, будет зашифрован.

Относительно Q 1..3: если соединение использует HTTP и вы помечаете куки-файлы как защищенные, они будут отправлены клиенту по HTTP, но клиент (совместимый) не отправит их обратно через не- - безопасное соединение. Значение по умолчанию для безопасного флага не указано afaik. Поэтому я рекомендую установить безопасный флаг для всех файлов cookie, используемых приложением, в true, если веб-приложение доступно через HTTPS (либо напрямую, либо через прокси-сервер обратного пути).

источник

2014-10-14 07:48:33 mjn

+0

благодарит @mjn за такой быстрый ответ. Это обеспечит использование всех файлов cookie для конкретных приложений или только сессионного cookie – Onki

+0

@ user3610891 см. Мое редактирование – mjn

+0

спасибо .. что решает мои qs 4 n 5 .. у вас есть информация о 1,2,3 – Onki

Смежные вопросы

 Смежные вопросы