Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
15.6. http のみのセッション管理クッキー
セッション管理クッキーの
http-only
属性は、HTTP 以外の API(JavaScript など)からのアクセスを制限することで、セキュリティーの脆弱性のリスクを軽減します。この制限は、クロスサイトスクリプティング攻撃によるセッションクッキーの脅威を軽減するのに役立ちます。クライアント側では、JavaScript またはその他のスクリプトメソッドを使用して Cookie にアクセスできません。これはセッション管理クッキーにのみ適用され、他のブラウザークッキーには適用されません。デフォルトでは、http-only
属性は有効になっています。
まだ行われていない場合は、
http-only
属性を使用するには、Web サブシステムの仮想サーバーに SSO を追加する必要があります。
例15.4 仮想サーバーへの SSO の追加
以下の管理 CLI コマンドを入力して、Web サブシステムの仮想サーバーに SSO を追加します。
/subsystem=web/virtual-server=default-host/configuration=sso:add
注記
このコマンドで「JBAS014803: Duplicate resource」が失敗すると、SSO がすでに仮想サーバー設定に追加されていることを意味します。このエラーは無視して、続行することができます。
注記
JSESSIONID および JSESSIONIDSSO はセッション追跡クッキーです。デフォルトでは、
http 専用
であるため、スクリプトでアクセスすることはできません。
例15.5 http-only
属性の検証
以下の管理 CLI コマンドを入力して、
http-only
属性の値を確認します。
/subsystem=web/virtual-server=default-host/configuration=sso:read-resource
{
"outcome" => "success",
"result" => {
"cache-container" => undefined,
"cache-name" => undefined,
"domain" => undefined,
"http-only" => true,
"reauthenticate" => undefined
},
"response-headers" => {"process-state" => "reload-required"}
}
例15.6 http-only
属性の有効化
以下の管理 CLI コマンドを入力して
http-only
属性を有効にします。
/subsystem=web/virtual-server=default-host/configuration=sso:write-attribute(name=http-only,value=true)