Einstellung 'HttpOnly' und 'Secure' in web.xml

Question

Ich muss die 'HttpOnly' und 'Secure' Attribute auf 'True' gesetzt haben, damit die Fehler CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute und CWE-402: Transmission of Private Resources into a New Sphere im Veracode-Bericht angezeigt werden.

Nach einiger Online-Suche zu tun, scheint es, dass das Beste, was zu tun ist, setzte einfach die Attribute in dem web.xml-Datei des Projektes wie folgt:

<session-config> 
    <cookie-config> 
     <http-only>true</http-only> 
     <secure>true</secure> 
    </cookie-config> 
</session-config> 

Allerdings bekomme ich eine Fehlermeldung auf dem Öffnen Tag sagen, dass „der Inhalt der Elementtyp‚Session-config‘müssen übereinstimmen‚(Session-Timeout)?‘.

ich bin nicht sicher, was das genau bedeutet. ich vermute, es hat etwas mit der Reihenfolge der Elemente zu tun, aber ich weiß nicht wirklich, wie ich es beheben kann t.

Irgendwelche Gedanken?

Danke!

Answer 1

Die Unterstützung für sicheres und http-only-Attribut ist nur für die http-servlet-Spezifikation verfügbar. 3. Überprüfen Sie, ob das Versionsattribut in Ihrer web.xml "3.0" lautet.

<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
      http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" 
    version="3.0">