appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。
首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookie,cookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他用途而产生的各种cookie。
首先看第一种,第一种可通过在was管理控制台配置,如下图所示:
至于第二种,则在系统设置cookie的时候,把cookie的secure属性设为true就行了。设置了secure属性的cookie只在https中传输和分享,http是不传输的哦,所以大家要注意了,由于我是http与https混用的,所以我多加了一个判断,当协议名为https的时候才设置这个属性,通过requets.getScheme来判断。
cookie.setSecure(true);