Мы хотим, чтобы все файлы cookie, установленные нашим веб-приложением, были доступны только для http. У меня есть только базовое представление о преимуществах этого, но специалисты по безопасности говорят мне, что это хорошо (tm). Наше приложение работает под JDK1.6.05 и WebLogic10.3.0.
После долгих поисков документации на веб-сайте Oracle я нашел убедительные доказательства того, что первая версия WebLogic, поддерживающая файлы cookie только для http, - 10.3.1. Под "поддержкой" я подразумеваю элемент дескриптора развертывания только для cookie-http.
Прежде чем мы перейдем к обновлению, хотелось бы получить ответы на следующие вопросы:
1a) Верно ли, что WL10.3.1 является первой версией, поддерживающей файлы cookie только для http, и что нам не повезло с 10.3.0?
1b) Если нам действительно нужно обновиться, легко ли это сделать под Windows? Я слышал, как люди упоминали «банку обновления», которую вы просто вставляете в путь к классам, но я не могу найти упоминания об этом в Oracle. Существует ли простой способ или нам нужно выполнить полную установку новой версии?
2) Что делает элемент дескриптора развертывания cookie-http-only при включении? Будет ли он гарантировать, что все файлы cookie, установленные приложением, будут иметь атрибут http-only = true? Будет более или менее? Есть ли что-нибудь, что мне придется делать программно?
3) Есть ли что-нибудь в общем, что я должен знать о файлах cookie только для http, о том, как мое веб-приложение может их использовать, или о других проблемах безопасности?
Для WebLogic 10.3.0.0 необходимо установить патч p8176461_103_Generic.
Файлы cookie только Http фактически поддерживаются версией Weblogic9.0. до этой версии это было недоступно. Только HTTP ограничивает получение файлов cookie из javascript, таким образом защищая вас от межсайтового скриптинга.