Cookie HttpOnly setting

북마크 추가

설명

Microsoft Internet Explorer 버전 6 서비스 팩 1 이상에서는 사이트 간 스크립팅을 통해 발생할 수 있는 쿠키 도난 문제를 줄이는 데 도움이 되는 HttpOnly 쿠키 속성을 사용할 수 있습니다.도난된 쿠키는 사이트에서 사용자를 식별하는 중요한 정보(예: ASP.NET 세션 ID 또는 폼 인증 티켓)를 포함할 수 있으며 공격자가 해당 사용자를 가장하거나 중요한 정보를 알아내는 데 악용될 수 있습니다.호환되는 브라우저에서 HttpOnly 쿠키를 받으면 클라이언트측 스크립트에서 해당 쿠키에 액세스할 수 없습니다. 


주의
HttpOnly  속성을 true로 설정해도 네트워크 채널에 액세스할 수 있는 공급자가 쿠키에 직접 액세스하는 것은 방지할 수 없습니다.이러한 공격을 방지하려면 SSL(Secure Sockets Layer)을 사용하는 것이 좋습니다.영구 쿠키가 저장되어 있는 컴퓨터나 열린 브라우저 창을 사용하여 공격자가 사용자의 ID로 웹 사이트에 액세스할 수 있으므로 워크스테이션의 보안을 유지하는 것도 중요합니다.
 

가능한 공격 및 이 속성을 사용하여 이러한 공격을 줄이는 방법에 대한 자세한 내용은 Mitigating Cross-site Scripting With HTTP-only Cookies를 참조하십시오.

* 출처 : Microsoft msdn

------------------------------------------------------------------

 

설정

 

둘중한가지 방법 사용

 

1. web.xml -> servlet 3.0이상

<session-config>

<cookie-config>

<http-only>true</http-only>

<!-- <secure>true</secure> --> 

 </cookie-config>

<session-timeout>10</session-timeout>

<tracking-mode>COOKIE</tracking-mode>

</session-config>

 

2. Tomcat에 설정

 

conf/context.xml

 

<Context useHttpOnly="true">

...

</Context>

 

httpOnly is supported as of Tomcat 6.0.19 and Tomcat 5.5.28.

 

 

 

 

AD
통관알리미
2016-01-08 16:49
SHARE