HTTPセッション用のCookie(name=JSESSIONID) に対して HttpOnly属性を 付与する設定を行ってもHttpOnly属性が付与されません。
また、アプリケーションが作成したCookieにHttpOnly属性を付与 するAPIを利用した場合も HttpOnly属性が付与されません。

• WebOTX Application Server Express V9.1、V9.2、V9.3
• WebOTX Application Server Standard V9.1、V9.2、V9.3
• WebOTX Application Server Enterprise V9.1、V9.2、V9.3
• WebOTX Portal V9.1、V9.3

Cookie に対してHttpOnly属性を付与するには、以下の二つの方法がありますが、 いずれの場合もCookie に HttpOnly属性が付与されません。

（１）HTTPセッション用のCookie に対して HttpOnly属性を付与

正しい動作としては、配備記述子（web.xml）に以下のように<http-only>タグを 追加して、true を指定してアプリケーションを配備するとCookie に対して HttpOnly属性が付与されます。

==================================================
<web-app>
    :
  <session-config>
    <session-timeout>30</session-timeout>
    <cookie-config>
      <http-only>true</http-only>
==================================================
 

（２）アプリケーションが生成したCookieに対して HttpOnly属性を付与

正しい動作としては、javax.servlet.http.Cookie#setHttpOnly() を呼び出す ことにより、Cookie に対してHttpOnly属性を付与することができます。

対処方法で公開しているパッチを適用することで、上記のいずれの場合に も、正しい動作を行うようになります。

また、パッチ適用により既定動作は以下のようになります。

• HTTPセッション用のCookie には HttpOnly属性が付与される(パッチ適用前：付与されない)

本件の問題に対応する累積パッチを公開しています。
次のダウンロードページからダウンロードしてください。

WebOTX Application Server V9.31 パッチモジュール

WebOTX Application Server V9.22 パッチモジュール

他バージョンの累積パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

ありません。

クラウドプラットフォーム事業部 / info-webotx@isd.jp.nec.com

2016/7/6 初版