Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

15.6. http のみのセッション管理クッキー

セッション管理クッキーの http-only 属性は、HTTP 以外の API(JavaScript など)からのアクセスを制限することで、セキュリティーの脆弱性のリスクを軽減します。この制限は、クロスサイトスクリプティング攻撃によるセッションクッキーの脅威を軽減するのに役立ちます。クライアント側では、JavaScript またはその他のスクリプトメソッドを使用して Cookie にアクセスできません。これはセッション管理クッキーにのみ適用され、他のブラウザークッキーには適用されません。デフォルトでは、http-only 属性は有効になっています。
まだ行われていない場合は、http-only 属性を使用するには、Web サブシステムの仮想サーバーに SSO を追加する必要があります。

例15.4 仮想サーバーへの SSO の追加

以下の管理 CLI コマンドを入力して、Web サブシステムの仮想サーバーに SSO を追加します。
/subsystem=web/virtual-server=default-host/configuration=sso:add
注記
このコマンドで「JBAS014803: Duplicate resource」が失敗すると、SSO がすでに仮想サーバー設定に追加されていることを意味します。このエラーは無視して、続行することができます。
注記
JSESSIONID および JSESSIONIDSSO はセッション追跡クッキーです。デフォルトでは、http 専用 であるため、スクリプトでアクセスすることはできません。

例15.5 http-only 属性の検証

以下の管理 CLI コマンドを入力して、http-only 属性の値を確認します。
/subsystem=web/virtual-server=default-host/configuration=sso:read-resource
{
    "outcome" => "success",
    "result" => {
        "cache-container" => undefined,
        "cache-name" => undefined,
        "domain" => undefined,
        "http-only" => true,
        "reauthenticate" => undefined
    },
    "response-headers" => {"process-state" => "reload-required"}
}

例15.6 http-only 属性の有効化

以下の管理 CLI コマンドを入力して http-only 属性を有効にします。
/subsystem=web/virtual-server=default-host/configuration=sso:write-attribute(name=http-only,value=true)