#servlets #weblogic #jsessionid
Вопрос:
Я работаю над уязвимостью атрибута SameSite в appspider
Когда мы впервые отправляем файл cookie JSESSIONID в ответ, атрибут samesite должен быть строгим. Как это сделать ? По умолчанию он отправляет столько файлов cookie: JSESSIONID=11V1VyWSUBJD5Cn8boKVCZzBpGOUe7NP5xEkkrEXtl5ypBkFeQdr!-1972425066; путь=/; HttpOnly
в ответ. Я также хочу добавить тот же сайт. Когда я редактирую weblogic.xml файл, то изменения не отражают
Ответ №1:
Этого невозможно достичь с помощью weblogic.xml дескриптор деполяризации. Вы должны написать фильтр (javax.сервлет.Фильтр), чтобы добавить этот атрибут в ваши файлы cookie. Ваш фильтр должен прочитать все файлы cookie из ответа и добавить к ним один и тот же атрибут сайта. Другим решением является обновление файлов cookie на HTTP-сервере перед вашими экземплярами сервера WebLogic (apache, OHS и т. Д.).
Комментарии:
1. Я сделал это с помощью weblogic.xml файл lt;wls:дескриптор сеансаgt; lt;wls:дескриптор сеансаgt;lt;wls:путь к файлу cookiegt;/;SameSite=строгийlt;wls:путь к файлу cookiegt;lt;/wls:путь к файлу cookiegt; lt;/wls:путь к файлу cookiegt;lt;/wls:дескриптор сеансаgt;