쿠키 보안 확인
클라이언트 브라우저에서 일부 쿠키가 제대로 보안되지 않을 수 있습니다. 쿠키가 보안되지 않으면 애플리케이션이 중간자 공격 및 세션 하이재킹 공격에 노출됩니다. 이 문제를 해결하려면 다음 예방 조치를 취하십시오.
*
항상 SSL 사용을 강제 적용하여 연결 중에 쿠키를 가로챌 위험을 줄입니다.
*
웹 애플리케이션 서버에서 모든 쿠키에 securehttponly 플래그를 설정합니다.
*
secure 플래그는 브라우저가 HTTPS 연결을 통해서만 쿠키를 전송하도록 지시합니다. 이 플래그를 설정하는 경우 서로 통신하는 모든 애플리케이션에서 SSL을 사용해야 합니다.
*
httponly 플래그는 쿠키가 클라이언트측 스크립트를 통해 액세스되지 않도록 합니다.
WebLogic에서 플래그 설정
securehttponly 플래그를 설정하려면 다음 프로시저를 사용하십시오.
*
전체 세부사항은 WebLogic 문서를 참조하십시오.
1.
Marketing Platform이 배포되어 실행 중인 경우 중지하고 배포 제거합니다.
2.
Marketing Platform WAR 파일을 추출합니다.
3.
weblogic.xml 파일을 편집하여 securehttponly 플래그를 설정합니다.
4.
Marketing Platform WAR 파일을 다시 작성하고 재배포하며 다시 시작합니다.
WebSphere에서 플래그 설정
WebSphere 관리 콘솔에서 다음과 같이 securehttponly 플래그를 설정합니다.
*
전체 세부사항은 WebSphere 문서를 참조하십시오.
Marketing Platform 애플리케이션 레벨에서 다음을 수행하십시오.
1.
세션 관리로 이동하여 쿠키 사용을 클릭합니다.
2.
쿠키를 HTTPS 세션으로 제한세션 쿠키를 HTTPOnly로 설정하여 XSS(Cross-site scripting) 공격 방지를 선택합니다.
3.
변경 내용을 저장하고 적용합니다.
4.
Marketing Platform 애플리케이션을 중지했다가 다시 시작합니다.
Copyright IBM Corporation 2014. All Rights Reserved.