关于wepsphere7.0的httponly,ssl,crossing-site scriping问题
小阎王 2014-02-11 12:13:21 各位wepshere的高手,请教下问题,项目中appscan扫出来httponly,secure在Cookie中没有添加安全信息的问题,如何在was7.0中添加httponly,secure属性呢,在Server端甚至还是在应用的javasource中设置,请各位大侠给解决方案,由于配置了一个过滤器,在其中写入了response.setHeader("SET-COOKIE","JESESSIONID=0000....:-1;PATH=/;HttpOnly;Secure")之后客户端依然生成两个Cooie,在提交的时候由于框架中有request.getSession(true)这个时候竟然新创建了一个Session,以前的Session中的信息没有取到,到底是什么问题,真心不清楚,Websphere自身是如何产生Cooie的?
关于JessionID的设置的生成策略不是很清楚但是通过IE的network观察到貌似jessionid="0000"+sessionid+":-1"不知道在初次请求后是否这样产生的。请各位大侠指点下,兄弟不胜感激!!
另外关于地址栏输入http://access35t.xx.yy:9000/XYZ/jsp/initScreen.jsp在后面追加onmouse=alert(10)之类的脚本如何能过让Appscan扫不出来。请大侠指点