반응형
HttpOnly 옵셔은 XSS(Cross Site Scripting)를 막기 위해, HTTP 요청이 아닌 자바 스크립트에서 cookie 접근을 막기 위해 설정한다.
위의 옵션이 설정되면, XSS에서 document.cookie를 통해 cookie를 접근할 수 없다.
JBoss EAP5에서는 "$PROFILE\deploy\jbossweb.sar\context.xml" 파일에 아래와 같이 설정한다.
<Context cookies="true" crossContext="true"> <SessionCookie secure="true" httpOnly="true" /> |
JBoss EAP6에서는 Web Application의 web.xml 파일에 아래와 같이 설정한다.
<session-config> <session-timeout>60</session-timeout> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> <tracking-mode>COOKIE</tracking-mode> </session-config> |
[글참조] https://access.redhat.com/solutions/338313
'WAS > JBoss' 카테고리의 다른 글
| [TroubleShooting] JBoss JDBC connection leak 해결방안 (0) | 2016.08.13 |
|---|---|
| [개요] JBoss EAP 7 새로운 기능 (0) | 2016.07.12 |
| [개요] 프로파일별 서브시스템 (0) | 2016.05.22 |
| [Tips] Sticky 세션 기반 부하분산 (0) | 2016.05.18 |
| [Tips] 심볼릭링크 사용 시 404 오류 발생 시 (0) | 2016.05.12 |