我正在研究appspider中的SameSite属性漏洞
当我们第一次发送JSESSIONID cookie作为响应时,samesite属性应该是严格的。如何做到这一点?默认情况下,它会发送以下内容: Set-Cookie: JSESSIONID=11V1VyWSUBJD5Cn8boKVCZzBpGOUe7NP5xEkkrEXtl5ypBkFeQdr!-1972425066;path=/;HttpOnly
作为回应。我想添加相同的网站以及。当我编辑weblogic.xml文件时,所做的更改没有反映出来
发布于 2021-12-01 10:41:52
使用weblogic.xml部署描述符无法实现这一点。您必须编写一个过滤器(javax.servlet.Filter)将此属性添加到您的cookies中。您的过滤器应该从响应中读取所有cookie,并将它们添加到samesite属性中。另一种解决方案是在HTTP实例(apache等)前面更新WebLogic服务器中的cookie。
https://stackoverflow.com/questions/70181989
复制相似问题