[Tips] HttpOnly와 Secure Session Cookies 설정

HttpOnly 옵셔은 XSS(Cross Site Scripting)를 막기 위해, HTTP 요청이 아닌 자바 스크립트에서 cookie 접근을 막기 위해 설정한다.

위의 옵션이 설정되면, XSS에서 document.cookie를 통해 cookie를 접근할 수 없다.

JBoss EAP5에서는 "$PROFILE\deploy\jbossweb.sar\context.xml" 파일에 아래와 같이 설정한다.

<Context cookies="true" crossContext="true">      <SessionCookie secure="true" httpOnly="true" />

JBoss EAP6에서는 Web Application의 web.xml 파일에 아래와 같이 설정한다.

<session-config>         <session-timeout>60</session-timeout>         <cookie-config>             <http-only>true</http-only>             <secure>true</secure>         </cookie-config>         <tracking-mode>COOKIE</tracking-mode>     </session-config>

[글참조] https://access.redhat.com/solutions/338313