В результате проверки безопасности я получил следующую ошибку:
«Отсутствует безопасный атрибут в файле cookie зашифрованного сеанса (SSL)» для WL_PERSISTENT_COOKIE и testcookie.
Я не знаю, как установить безопасный атрибут для этих файлов cookie, с сервера веб-сферы он просто позволяет мне установить безопасный атрибут для файла cookie JSESSIONID, но не для других.
Вот мои выводы из результатов моего сканирования приложений:
testcookie
: Этот файл cookie создается в файле worklight.js. Согласно appscan, приложение отправляет запрос на сервер (GET /ParkingApp/apps/services/preview/SmarterParking/common/0/default/worklight/worklight.js HTTP/1.1
), а сервер отвечает этим файлом, в котором есть следующий фрагмент кода:areCookiesEnabled : function() { var enabled = true; if (WL.EnvProfile.isEnabled(WL.EPField.WEB)) { var date = new Date(); date.setTime(date.getTime() + (24 * 60 * 60 * 1000)); document.cookie = "testcookie=oreo; expires=" + date.toGMTString() + "; path=/"; var cookie = getCookie('testcookie'); enabled = (cookie.value === 'oreo'); } return enabled; }
Итак, я понимаю, что cookie устанавливается в этом файле, поскольку последующие запросы и ответы обмениваются testcookie.
Как я могу отредактировать этот файл, поскольку он кажется предопределенным файлом в Worklight? Будет ли хорошей практикой отредактировать этот файл, чтобы я изменил эту строку, чтобы включить безопасный атрибут?
WL_PERSISTENT_COOKIE
: С этим файлом cookie я немного застрял, сервер worklight ищет этот файл cookie в запросе и, если он не найден, отправляет его обратно клиенту в заголовке set-cookie. На самом деле это то, что я вижу при сканировании безопасности, однако сервер не устанавливает для этого файла cookie безопасный атрибут, и я не нахожу этот параметр в настройках сервера веб-сферы. Как я могу установить для постоянного файла cookie безопасный атрибут?
Заранее большое спасибо!