我需要将'HttpOnly'和'Secure'属性设置为'true',以防止在Veracode报告中显示CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute和CWE-402: Transmission of Private Resources into a New Sphere个缺陷。
在进行一些在线搜索之后,最好的办法是简单地在项目的web.xml文件中设置属性,如下所示:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
但是,我在开始标记上收到一条错误消息,指出 “元素类型”session-config“的内容必须匹配”(会话超时)?“ 。
我不确定这究竟是什么意思。我猜它与元素的顺序有关,但我真的不知道如何修复它。
有什么想法吗?
谢谢!
答案 0 :(得分:10)
仅对http-servlet规范3提供对secure和http-only属性的支持。检查web.xml中的version属性是&#34; 3.0&#34;。
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">