Wagbyがサポートしていない警告レベルについて(R8)

Set-Cookie ヘッダに SameSite 属性を指定する

R9.1.2から標準で SameSite 属性を付与しますが、R8 はそうなっていません。 ここでは開発者が手動で設定する場合の方法を説明します。

Tomcat 単体で運用する場合

wagbyapp/webapps/プロジェクト識別子/META-INF/context.xml

を編集します。元は次のようになっています。

   <CookieProcessor
   className="org.apache.tomcat.util.http.LegacyCookieProcessor" />
  

これを次のように書き換えます。(SameSite=Laxを指定する場合)

   <CookieProcessor
           className="org.apache.tomcat.util.http.Rfc6265CookieProcessor"
           sameSiteCookies="Lax”/>
  

Cookie 名に__Host-プレフィックスが指定されていない

この対策は次の対応を行うことが求められています。

• Domain 属性を指定しない。
• Path 属性に/を指定する。
• Secure 属性を指定する。

これによって Cookie が不正に書き換えられることを防ぐようになりますが、Wagby がクッキーに保存する情報に、セキュリティ上問題になるものはありません。詳細はこちらをお読みください。

このことから、本指摘についてはWagbyでは対応していません。