web.xmlで 'HttpOnly'と 'Secure'を設定する

Question

CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' AttributeとCWE-402: Transmission of Private Resources into a New Sphereの脆弱性がVeracodeレポートに表示されないようにするには、 'HttpOnly'属性と 'Secure'属性を 'true'に設定する必要があります。

いくつかのオンライン検索を行った後、それを行うための最善のことは、次のように単にプロジェクトのweb.xmlファイル内の属性を設定することがあるようです。しかし

<session-config> 
    <cookie-config> 
     <http-only>true</http-only> 
     <secure>true</secure> 
    </cookie-config> 
</session-config> 

、私は、上のエラーメッセージが表示されます「要素型の内容は 『セッション設定（セッションタイムアウト）』を一致させる必要があります 『？』を。私はそれが正確に何を意味するのかわからないんだけど

を。私は推測している、それが持っているというタグを開きます要素の順序と関係するものですが、私は実際にどのように修正するのか分かりませんt。

どのような考えですか？

ありがとうございます！

Answer 1

セキュア属性とhttp-only属性のサポートは、http-servlet仕様3でのみ使用できます。web.xmlのバージョン属性が "3.0"であることを確認してください。

<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
      http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" 
    version="3.0">