[WebOTX] CookieへのHttpOnly属性が付与されない問題と対策について
概要
HTTPセッション用のCookie(name=JSESSIONID) に対して HttpOnly属性を
付与する設定を行ってもHttpOnly属性が付与されません。
また、アプリケーションが作成したCookieにHttpOnly属性を付与
するAPIを利用した場合も HttpOnly属性が付与されません。
影響のある製品
次の製品が該当します。
- WebOTX Application Server Express V9.1、V9.2、V9.3
- WebOTX Application Server Standard V9.1、V9.2、V9.3
- WebOTX Application Server Enterprise V9.1、V9.2、V9.3
- WebOTX Portal V9.1、V9.3
詳細
Cookie に対してHttpOnly属性を付与するには、以下の二つの方法がありますが、
いずれの場合もCookie に HttpOnly属性が付与されません。
(1)HTTPセッション用のCookie に対して HttpOnly属性を付与
正しい動作としては、配備記述子(web.xml)に以下のように<http-only>タグを
追加して、true を指定してアプリケーションを配備するとCookie に対して
HttpOnly属性が付与されます。
==================================================
<web-app>
:
<session-config>
<session-timeout>30</session-timeout>
<cookie-config>
<http-only>true</http-only>
==================================================
(2)アプリケーションが生成したCookieに対して HttpOnly属性を付与
正しい動作としては、javax.servlet.http.Cookie#setHttpOnly() を呼び出す
ことにより、Cookie に対してHttpOnly属性を付与することができます。
対処方法で公開しているパッチを適用することで、上記のいずれの場合に
も、正しい動作を行うようになります。
また、パッチ適用により既定動作は以下のようになります。
- HTTPセッション用のCookie には HttpOnly属性が付与される(パッチ適用前:付与されない)
対処方法
回避方法
連絡先
クラウドプラットフォーム事業部 / info-webotx@isd.jp.nec.com
更新履歴
製品名カテゴリ
WebOTX
WebOTX Application Server
-
コンテンツID:
3010101756
-
公開日:
2016年07月07日
-
最終更新日:2016年08月05日