Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

15.8. HTTP のみのセッション管理クッキーの設定

セッション管理クッキーは、JavaScript などの HTTP API および非 HTTP API の両方によってアクセスされます。JBoss EAP は HttpOnly ヘッダーを Set-Cookie 応答ヘッダーの一部としてクライアント (通常はブラウザー) に送信します。サポートされているブラウザーでは、このヘッダーを有効にすると、ブラウザーは非 HTTP API 経由でセッション管理 Cookie にアクセスできないようにします。セッション管理 Cookie を HTTP API のみに制限すると、クロスサイトスクリプティング攻撃によるセッション Cookie 盗難の脅威を軽減できます。この動作を有効にするには、http-only 属性を true に設定する必要があります。

重要

HttpOnly ヘッダーを使用しても、単にブラウザーに通知を行うだけで、クロスサイトスクリプティングによる攻撃を実際に防ぐわけではありません。この動作を有効にするには、ブラウザーも HttpOnly をサポートしている必要があります。

重要

http-only 属性を使用すると制限がセッション管理クッキーのみに適用され、その他のブラウザークッキーには適用されません。

http-only 属性は undertow サブシステムの 2 カ所で設定されます。

  • セッションクッキー設定としてサーブレットコンテナーで設定
  • 単一のサインオンプロパティーとしてサーバーのホストセクションで設定

15.8.2. ホストシングルサインオンの http のみの設定
リンクのコピー

この手順では、undertow サブシステムでホストシングルサインオンの http-only プロパティーを設定する方法を説明します。

前提条件

  • 管理 CLI にアクセスできる。
  • サーバー設定を変更する権限がある。

手順

  1. ホストにシングルサインオン設定を追加します。 

    Run the following command:
     
    ----
/subsystem=undertow/server=default-server/host=default-host/setting=single-sign-on:add
----

  2. http-only 属性を true に設定します。 

    Run the following command:
     
    ----
/subsystem=undertow/server=default-server/host=default-host/setting=single-sign-on:write-attribute(name=http-only,value=true)
----

  3. 変更を反映するためにサーバーをリロードします。 

    ----
reload
----
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る