Question

我们已经基于IBM App Scan DSAT测试下载了primefaces.download的加密会话（SSL）Cookie中缺少安全属性。

Primefaces版本是7.0

示例示例：https://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml

primefaces.download-在我们下载文件时会设置此Cookie

我们已经在web.xml中具有session-config，但是当我在chrome中签入时，primefaces.download cookie并未设置为仅使用http并且安全。

在JBOSS 7.2上运行它还需要做其他事情吗？

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">

..........

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

已更新： 问题已提出 https://github.com/primefaces/primefaces/issues/6040

Answer 1

已提交解决9.0-SNAPSHOT中问题的拉取请求。

https://github.com/primefaces/primefaces/pull/6041

IBM AppScan-加密的会话（SSL）Cookie中缺少安全属性

1 个答案: