Preventive Service Planning
Abstract
WAS V8.0では、ハードニング強化のために、HTTPセッション管理用やLTPA関連のCookieに対して、HttpOnlyの設定はデフォルトでOnになっています。Webブラウザで稼動するアプレットからのHTTP通信にセッションCookieを付与するには、この設定の変更が必要な場合があります。
Content
【対象製品】
WebSphere Application Server V8.0
【内容】
CookieのHTTPOnly属性は、クロスサイトスクリプティング攻撃の脅威を軽減することができる属性です。
この属性を指定すると、HTTPリクエストにのみCookieが付与され、JavaScript等のスクリプト言語からCookieがアクセスできなくなります。
HTTPOnly属性は、2011年にCookieの仕様として明確に定義されましたが、それ以前から事実上使用されており、IEやFireFox等のブラウザやWASでもサポートされるようになりました。
WASは、V6.1.0.31 と V7.0.0.9からセッションCookieのHTTPOnly属性をサポートしており、カスタムプロパティでこれを設定することができます。
V8.0から、セッションCookieやLTPA Cookieに対して、デフォルトでHTTPOnly属性がOnとなりました。
また、この設定は一般プロパティとして管理コンソール画面に追加され、On/Offの設定が容易になりました。
HTTPOnly属性が付与されたCookieは、JavaScriptだけでなくアプレットやFlashからもアクセスできなくなることに注意が必要です。
V8.0の環境で、アプレットからのHTTPリクエストにセッションCookieを付与する必要がある場合は、HTTPOnly属性をOffにしてください。
【回避策】
管理コンソールから、セッションCookieのHTTPOnly属性をOffにします。
- 管理コンソールを開きます。
- 「サーバー」を選択します。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」と選択します。
- 「コンテナー設定」の下の、「セッション管理」を選択します。
- 「セッション・トラッキング・メカニズム」の下の、「Cookieを有効にする」を選択します。
- 「セッション Cookie を HTTPOnly に設定して、クロスサイト・スクリプティング・アタックを阻止します。」のチェックボックスをはずします。
- 「OK」を選択します。
- アプリケーション・サーバーを再起動します。
上記の設定はアプリケーション・サーバー・レベルの設定ですが、「アプリケーション」や「Webモジュール」のレベルのセッション管理の設定で、アプリケーション・サーバー・レベルの設定を上書きすることも可能です。
カスタムプロパティ(com.ibm.ws.webcontainer.HTTPOnlyCookies)を使用すると、HTTPOnly属性を追加するCookieを選択することが出来ます。
詳細は下記リンクをご参照ください。
Web コンテナーのカスタム・プロパティー(com.ibm.ws.webcontainer.HTTPOnlyCookies)
【注意点】
LTPA CookieのHTTPOnly属性の設定は下記リンクをご参照ください。
カスタムプロパティー名も異なりますのでご注意ください。
シングル・サインオン設定
セキュリティー・カスタム・プロパティー(com.ibm.ws.security.addHttpOnlyAttributeToCookies)
【参考情報】
RFC 6265 HTTP State Management Mechanism] <PK98436: HTTONLY ATTRIBUTE IS NOT SUPPORTED IN A WEBSPHERE APPLICATION SERVER SESSION COOKIE> <Setting the HTTPOnly and Secure Flags on Tivoli Access Manager/WebSphere Application Server Cookies> 以上
Historical Number
DCD7AF4AF1AFE21D492579BB001FA80A
Product Synonym
対象システム:WebSphere Application Server
Was this topic helpful?
Document Information
Modified date:
17 June 2018
UID
jpn1J1009240