0
我需要将'HttpOnly'和'Secure'属性设置为'true',以防止在Veracode报告中显示CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute和CWE-402: Transmission of Private Resources into a New Sphere缺陷。在web.xml中设置'HttpOnly'和'Secure'
做了一些网上搜索后,似乎做的最好的事情是简单地设置在项目的web.xml文件的属性如下:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
但是,我得到了一个错误信息打开标签说“元素类型的内容‘会话配置(会话超时)’必须匹配‘?’。
我不知道这意味着什么完全一样。我猜它有与元素的顺序有关,但我真的不知道如何解决我吨。
有什么想法?
谢谢!