HTTPOnly Cookie を処理するための WebSEAL 構成
クロスサイト・スクリプトの危険性を軽減するために、HTTPOnly
属性が Cookie に追加され、クライアント側のスクリプトを通して Cookie がアクセスされないようになりました。
クロスサイト・スクリプトは、Web サーバーに関するセキュリティーの問題でも最も代表的ななもので、Web サイトのユーザーに関する機密情報が漏えいする可能性があります。 WebSEAL
では、セッション、フェイルオーバー、および LTPA Cookie に使用する Set-Cookie
ヘッダーに HTTPOnly
属性を追加可能にするオプションが含まれています。 また、HTTP-only Set-Cookie
ヘッダー属性をバックエンド Junction サーバーから Web ブラウザーに受け渡すように WebSEAL を構成することもできます。
HTTPOnly
属性を Session、Failover、および LTPA Set-Cookie ヘッダーに追加するように WebSEAL を構成するには、WebSEAL 構成ファイルの [server] スタンザ内の use-http-only-cookies の値を yes に変更します。 デフォルト値は noです。[server]
use-http-only-cookies = yes
Junction 先サーバーから送信された Set-Cookie ヘッダーからの
HTTPOnly
属性を受け渡すように WebSEAL を構成するには、WebSEAL 構成ファイルの [junction] スタンザ内の pass-http-only-cookie-attr の値を yes に変更します。 デフォルト値は noです。[junction]
pass-http-only-cookie-attr = yes
これらの項目について詳しくは、 IBM® Knowledge Center の「Web リバース・プロキシー・スタンザ・リファレンス」トピックを参照してください。