Para o WebLogic 10.3.0.0, você precisa instalar o patch p8176461_103_Generic.
Queremos que todos os cookies sejam definidos pelo nosso webapp http-only. Eu só tenho uma compreensão básica dos benefícios de fazer isso, mas me disseram por pessoas de segurança que é uma coisa boa (tm) Nosso aplicativo está sendo executado em JDK1.6.05 e WebLogic10.3.0
Depois de explorar demais o site da Oracle para documentação, descobri que a primeira versão do WebLogic para suporte a cookies http é 10.3.1. Por "suporte", refiro-me ao elemento descritor de distribuição cookie-http-only.
Antes de atualizarmos, seria bom que essas perguntas fossem respondidas:
1a) É preciso que a WL10.3.1 seja a primeira versão a oferecer suporte a cookies somente HTTP e que tenhamos a sorte com a 10.3.0?
1b) Se realmente precisarmos atualizar, existe uma maneira fácil de fazer isso no Windows? Eu ouvi as pessoas mencionarem um "upgrade jar" que você acabou de colocar no classpath, mas não consigo encontrar nenhuma menção a isso pela Oracle. Existe uma maneira fácil, ou precisamos fazer uma instalação completa da nova versão?
2) O que faz o elemento descritor de implantação apenas http-cookie quando ativado? Ele garantirá que todos os cookies definidos pelo aplicativo tenham um atributo http-only = true? Será que vai fazer mais ou menos? Existe alguma coisa que eu terei que fazer programaticamente?
3) Existe alguma coisa em geral que eu deva saber sobre cookies somente http, fazer com que meu aplicativo da web tire vantagem deles ou outras preocupações de segurança?
Para o WebLogic 10.3.0.0, você precisa instalar o patch p8176461_103_Generic.
O cookie somente HTTP é suportado na versão Weblogic9.0. antes desta versão, isso não estava disponível. Http apenas restringir para obter cookies de javascript, assim protege você de Cross Site Scripting.