Configuration des attributs de sécurité pour les cookies de session XPages
Configurez les attributs requis pour le cookie d'ID de session XPages, en fonction de votre environnement.
Avant de commencer : Dans le répertoire de données Domino, dans le dossier Propriétés, créez un fichier nommé xsp.properties. Vous pouvez utiliser l'exemple de fichier dans le dossier Propriétés (xsp.properties.sample) comme point de départ.
Configuration de l'attribut « sécurisé » pour un cookie Xpage SessionID
Lorsque le serveur hébergeant une application XPages est configuré pour accepter uniquement les requêtes https et que l'option "Communication protégée par SSL" est activée dans Domino Administrator, vous devez définir manuellement l'attribut "sécurisé" pour le cookie d'ID de session.
- Ajoutez la ligne suivante dans le fichier xsp.properties :
xsp.sessionid.cookie.secure=true
ATTENTION : vous devez activer ce paramètre uniquement si le serveur est configuré pour accepter exclusivement les requêtes https. Si les requêtes https et http sont acceptées, le serveur ne sera pas sécurisé et les utilisateurs pourraient subir une perte de données.
Configuration de l'attribut SameSite pour un cookie Xpage Session ID
L'utilisation de l'attribut de cookie SameSite réduit le risque de falsification de requêtes intersites (CSRF). Configurez ce paramètre pour XPages comme suit :
- Ajoutez la ligne suivante dans le fichier xsp.properties :
xsp.sessionid.cookie.samesite= valeur selon celles du tableau suivant :
Valeur Attribut MêmeSite 0 Désactivé (par défaut) 1 Strict 2 Relâché 3 Aucun où une valeur de 3 (Aucun) entraîne la définition de l'attribut sécurisé s'il n'est pas déjà défini dans le fichier xsp.properties.