Einstellung 'HttpOnly' und 'Sicher' in web.xml

Brauche ich, um das 'HttpOnly' und 'Secure' - Attribute auf true festgelegt, um zu verhindern, dass die CWE-614: Sensible Cookie, HTTPS-Sitzung Ohne 'Secure' - Attribut und CWE-402: die Übertragung von Privaten Ressourcen in eine Neue Sphäre Fehler von der Anzeige in der Veracode-Bericht.

Nachdem ich einige online-Suche, es scheint, dass die beste Sache zu tun, ist einfach legen Sie die Attribute des Projekts web.xml Datei wie folgt:

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
 </session-config>

Allerdings bekomme ich eine Fehlermeldung auf der Start-tag zu sagen, dass "wird Der Inhalt des Elements Typ "session-config" muss mit "(session-timeout)?".

Ich bin mir nicht sicher, was das bedeutet genau. Ich vermute, es hat etwas zu tun mit der Reihenfolge der Elemente, aber ich weiß wirklich nicht, wie es zu lösen ist.

Irgendwelche Gedanken?

Dank!

InformationsquelleAutor EH Khiari | 2017-06-14

Schreibe einen Kommentar