如何使用 servlet 或配置文件本身将 samesite = strict 添加到 weblogic 服务器中的 JSESSIONID cookie?
Posted
技术标签:
【中文标题】如何使用 servlet 或配置文件本身将 samesite = strict 添加到 weblogic 服务器中的 JSESSIONID cookie?【英文标题】:How to add samesite = strict to JSESSIONID cookie in weblogic server either using servlet or configuration file itself? 【发布时间】:2022-01-07 21:55:52 【问题描述】:我正在处理 apppider 中的 SameSite 属性漏洞
当我们第一次在响应中发送 JSESSIONID cookie 时,samesite 属性应该是严格的。如何让它发生? 默认情况下它发送这么多 设置 Cookie:JSESSIONID=11V1VyWSUBJD5Cn8boKVCZzBpGOUe7NP5xEkkrEXtl5ypBkFeQdr!-1972425066;路径=/; HttpOnly
作为回应。我也想添加相同的站点。 当我编辑 weblogic.xml 文件时,更改不会反映
【问题讨论】:
【参考方案1】:使用 weblogic.xml 部署描述符无法实现此目的。您必须编写一个过滤器 (javax.servlet.Filter) 来将此属性添加到您的 cookie。您的过滤器应该从响应中读取所有 cookie 并将它们添加到 samesite 属性。 另一种解决方案是在 WebLogic Server 实例(apache、OHS 等)前面的 HTTP 服务器中更新 cookie
【讨论】:
我已经使用 weblogic.xml 文件以上是关于如何使用 servlet 或配置文件本身将 samesite = strict 添加到 weblogic 服务器中的 JSESSIONID cookie?的主要内容,如果未能解决你的问题,请参考以下文章