설명
Microsoft Internet Explorer 버전 6 서비스 팩 1 이상에서는 사이트 간 스크립팅을 통해 발생할 수 있는 쿠키 도난 문제를 줄이는 데 도움이 되는 HttpOnly 쿠키 속성을 사용할 수 있습니다.도난된 쿠키는 사이트에서 사용자를 식별하는 중요한 정보(예: ASP.NET 세션 ID 또는 폼 인증 티켓)를 포함할 수 있으며 공격자가 해당 사용자를 가장하거나 중요한 정보를 알아내는 데 악용될 수 있습니다.호환되는 브라우저에서 HttpOnly 쿠키를 받으면 클라이언트측 스크립트에서 해당 쿠키에 액세스할 수 없습니다.
주의
HttpOnly 속성을 true로 설정해도 네트워크 채널에 액세스할 수 있는 공급자가 쿠키에 직접 액세스하는 것은 방지할 수 없습니다.이러한 공격을 방지하려면 SSL(Secure Sockets Layer)을 사용하는 것이 좋습니다.영구 쿠키가 저장되어 있는 컴퓨터나 열린 브라우저 창을 사용하여 공격자가 사용자의 ID로 웹 사이트에 액세스할 수 있으므로 워크스테이션의 보안을 유지하는 것도 중요합니다.
가능한 공격 및 이 속성을 사용하여 이러한 공격을 줄이는 방법에 대한 자세한 내용은 Mitigating Cross-site Scripting With HTTP-only Cookies를 참조하십시오.
* 출처 : Microsoft msdn
------------------------------------------------------------------
설정
둘중한가지 방법 사용
1. web.xml -> servlet 3.0이상
<session-config>
<cookie-config>
<http-only>true</http-only>
<!-- <secure>true</secure> -->
</cookie-config>
<session-timeout>10</session-timeout>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
2. Tomcat에 설정
conf/context.xml
<Context useHttpOnly="true">
...
</Context>
httpOnly is supported as of Tomcat 6.0.19 and Tomcat 5.5.28.
