在web.xml中设置'HttpOnly'和'Secure'

Question

我需要将'HttpOnly'和'Secure'属性设置为'true'，以防止在Veracode报告中显示CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute和CWE-402: Transmission of Private Resources into a New Sphere缺陷。

做了一些网上搜索后，似乎做的最好的事情是简单地设置在项目的web.xml文件的属性如下：

<session-config> 
    <cookie-config> 
     <http-only>true</http-only> 
     <secure>true</secure> 
    </cookie-config> 
</session-config> 

但是，我得到了一个错误信息打开标签说“元素类型的内容‘会话配置（会话超时）’必须匹配‘？’。

我不知道这意味着什么完全一样。我猜它有与元素的顺序有关，但我真的不知道如何解决我吨。

有什么想法？

谢谢！

Answer 1

仅对http-servlet规范3提供对安全和http-only属性的支持。检查web.xml中的版本属性是否为“3.0”。

<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
      http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" 
    version="3.0">