确保 cookie 安全性
某些 cookie 可能在客户机浏览器中无法正常受保护。如果不保护 cookie,那么会使应用程序易受中间人和会话截取攻击。要修订此问题,请采取下列预防措施。
*
强制始终使用 SSL 以降低拦截连接上的 cookie 的风险。
*
在 Web 应用程序服务器中,对所有 cookie 设置 securehttponly 标记。
*
secure 标记表明浏览器仅通过 HTTPS 连接发送 cookie。如果您设置此标记,那么必须对互相通信的所有应用程序启用 SSL。
*
httponly 标记将阻止 cookie 通过客户端脚本访问。
在 WebLogic 中设置标记
要设置 securehttponly 标记,请使用以下过程。
*
有关完整详细信息,请参阅 WebLogic 文档。
1.
如果 Marketing Platform 已部署并且在运行,请将其停止并取消部署。
2.
抽取 Marketing Platform WAR 文件。
3.
编辑 weblogic.xml 文件以设置 securehttponly 标记。
4.
重新创建 Marketing Platform WAR 文件,重新部署,然后重新启动。
在 WebSphere 中设置标记
可在 WebSphere 管理控制台中设置 securehttponly 标记,如下所示。
*
有关完整详细信息,请参阅 WebSphere 文档。
Marketing Platform 的应用程序级别,执行下列操作。
1.
浏览到会话管理,然后单击启用 cookie
2.
检查将 cookie 限制为 HTTPS 会话将会话 cookie 设置为 HTTPOnly 以防止跨站点脚本编制攻击
3.
保存并应用您所做的更改。
4.
停止并重新启动 Marketing Platform 应用程序。
Copyright IBM Corporation 2014. All Rights Reserved.