Red Hat Summit17.10. HTTP 전용 세션 관리 쿠키 구성
세션 관리 쿠키는 HTTP API 및 JavaScript와 같은 HTTP 이외의 API에서 액세스할 수 있습니다. JBoss EAP는 Set-Cookie 응답 헤더의 일부로 Cryostat Only 헤더를 클라이언트(일반적으로 브라우저)로 전송하는 기능을 제공합니다. 지원되는 브라우저에서 이 헤더를 사용하면 HTTP 이외의 API를 통해 세션 관리 쿠키 액세스를 금지해야 함을 브라우저에 알립니다. 세션 관리 쿠키를 HTTP API로만 제한하면 사이트 간 스크립팅 공격을 통해 세션 쿠키 도난 위협을 완화하는 데 도움이 될 수 있습니다. 이 동작을 활성화하려면 http-only 속성을 true 로 설정해야 합니다.
중요
Cryo statOnly 헤더를 사용하면 실제로 사이트 간 스크립팅 공격을 자체적으로 방지하는 것은 아니며 브라우저에만 알립니다. 브라우저에서도 이 동작이 영향을 미치는 경우 Cryostat Only 를 지원해야 합니다.
중요
http 전용 속성을 사용하면 세션 관리 쿠키에만 제한 사항이 적용되며 다른 브라우저 쿠키는 적용되지 않습니다.
http-only 속성은 undertow 하위 시스템의 두 위치에 설정됩니다.
- 세션 쿠키 설정으로 서블릿 컨테이너에서
- 서버의 호스트 섹션에서 Single Sign-On 속성으로
서블릿 컨테이너 세션에 대한 호스트 전용 구성
서블릿 컨테이너 세션 쿠키의 호스트 전용 속성을 구성하려면 다음을 수행합니다.
/subsystem=undertow/servlet-container=default/setting=session-cookie:add
/subsystem=undertow/servlet-container=default/setting=session-cookie:write-attribute(name=http-only,value=true)
reload
호스트 Single Sign-On에 대한 호스트 전용 구성
호스트 Single Sign-On에 대한 host-only 속성을 구성하려면 다음을 수행합니다.
/subsystem=undertow/server=default-server/host=default-host/setting=single-sign-on:add
/subsystem=undertow/server=default-server/host=default-host/setting=single-sign-on:write-attribute(name=http-only,value=true)
reload
