Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

15.6. http のみのセッション管理クッキー

セッション管理クッキーの http-only 属性は、HTTP 以外の API(JavaScript など)からのアクセスを制限することで、セキュリティーの脆弱性のリスクを軽減します。この制限は、クロスサイトスクリプティング攻撃によるセッションクッキーの脅威を軽減するのに役立ちます。クライアント側では、JavaScript またはその他のスクリプトメソッドを使用して Cookie にアクセスできません。これはセッション管理クッキーにのみ適用され、他のブラウザークッキーには適用されません。デフォルトでは、http-only 属性は有効になっています。
まだ行われていない場合は、http-only 属性を使用するには、Web サブシステムの仮想サーバーに SSO を追加する必要があります。

例15.4 仮想サーバーへの SSO の追加

以下の管理 CLI コマンドを入力して、Web サブシステムの仮想サーバーに SSO を追加します。 
/subsystem=web/virtual-server=default-host/configuration=sso:add
Copy to Clipboard Toggle word wrap
注記
このコマンドで「JBAS014803: Duplicate resource」が失敗すると、SSO がすでに仮想サーバー設定に追加されていることを意味します。このエラーは無視して、続行することができます。
注記
JSESSIONID および JSESSIONIDSSO はセッション追跡クッキーです。デフォルトでは、http 専用 であるため、スクリプトでアクセスすることはできません。

例15.5 http-only 属性の検証

以下の管理 CLI コマンドを入力して、http-only 属性の値を確認します。 
/subsystem=web/virtual-server=default-host/configuration=sso:read-resource
{
    "outcome" => "success",
    "result" => {
        "cache-container" => undefined,
        "cache-name" => undefined,
        "domain" => undefined,
        "http-only" => true,
        "reauthenticate" => undefined
    },
    "response-headers" => {"process-state" => "reload-required"}
}
Copy to Clipboard Toggle word wrap

例15.6 http-only 属性の有効化

以下の管理 CLI コマンドを入力して http-only 属性を有効にします。 
/subsystem=web/virtual-server=default-host/configuration=sso:write-attribute(name=http-only,value=true)
Copy to Clipboard Toggle word wrap
バグの報告
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る