Ai助手

駿捷科技

AI數據引領開創未來

/

Home/8.5.3 / Domino Session Cookie Secure and HTMLOnly not working

Domino Session Cookie Secure and HTMLOnly not working

作者:

ai客服
分類: , , , , , ,

在企業資訊安全的日常防護中,XSS 與 CSRF 攻擊往往以 session cookie 為攻擊門檻。Domino 伺服器在其原廠設定中並未提供全域啟用 SecureHttpOnly 旗標的機制,導致成員在面對瀏覽器攔截與惡意腳本時容易暴露身份驗證資訊。近期測試發現,儘管已在 notes.ini 檔案加入 LTPA_ADD_SECURE_TAG=1LTPA_ADD_HTMLONLY_TAG=1,實際上仍然無法為 Session Cookie 加入相對應屬性。本文將針對該問題進行梳理、探討最新進展與可行解決方案,以協助管理員快速定位並修復安全弱點。

(HCL 技術庫, 2023)

問題:Secure 與 HttpOnly 旗標缺失

    • Domino 透過 LTPA 產生 DOM_AuthSessIdHM_AuthSessId 之類似 session cookie,用於辨識登入身分。

(HCL 技術庫, 2023)

    • 在沒有設定旗標時,Cookie 會被瀏覽器隨 HTTP 與 HTTPS 請求皆送出,且 JavaScript 可直接存取。

(Wild Unknown, 2010)

    • 此行為為 XSS 攻擊者盜取 session-id,進一步發起 CSRF 或 DoS 攻擊提供了便利。

(Wild Unknown, 2010)

原因剖析:為何 notes.ini 設定未生效?

SPR# LORN7FRLHQ – Added the ability to add the ‘secure’ or ‘httponly’ tags to Domino’s single sign-on cookies. New notes.ini to enable this are: LTPA_ADD_SECURE_TAG=1 and LTPA_ADD_HTMLONLY_TAG=1.

Domino 的 notes.ini 參數雖已於 SPR# LORN7FRLHQ 於 2019 年推出,並於 2021 年可透過 hcltechsw 的 Idea 系統確認,但多數現場環境因版本差異或 Web 伺服器指派階段,並不會直接把參數寫入到 LTPA 產生流程。舉例來說,若使用 WebSphere、IIS 或其他 reverse‑proxy,Domino 只負責下游,HTTP flag 需由前置代理進行補強。

(HCL Ideas, 2022)

此外,Domino 伺服器若同時偵測到 SSL off‑loading,會將傳遞給後端的請求視為非 HTTPS,導致 Secure 旗標不被寫入。

(Microsoft, 2022)

最新進展:官方修正與功能擴充
  1. SPR# LORN7FRLHQ:新增 LTPA_ADD_SECURE_TAGLTPA_ADD_HTMLONLY_TAG,指定在 LTPA cookie 中自動插入 SecureHttpOnly 標示。

    (HCL 技術庫, 2023)

  2. 2024 年部署於 HCL Domino 11 的安全 KB 提供「輕量級代理」方案,允許在 HTTP 方法層面插入 Set-Cookie 修飾符,與 Cookie 加密結合。

    (Support HCL Software, 2024)

  3. 2025 版 Domino Now 涵蓋「Web Agent Configuration」中的「DominoWebServerSettings」,可在 domino.webagent.ini 內設定 SameSite=LaxSecure=true,即使反向代理偵測失敗亦能正確寫入。

    (Broadcom Symantec, 2024)

行動建議:如何快速修復與加固
  • 環境檢核:確認 Domino 版本、Web 伺服器類型、是否啟用 SSL off‑loading。(Qualys, 2021)
  • 改寫 notes.ini:在 domino.ini 加入以下兩行,並重啟 Domino 服務。
    1. LTPA_ADD_SECURE_TAG=1
    2. LTPA_ADD_HTMLONLY_TAG=1

    若仍無效,請確保 Web 伺服器已設定為 HTTPS

    (HCL 技術庫, 2023)

  • 在新的 Domino伺服器中,一併啟用 SPR# LORN7FRLHQ 及 SameSite=Lax,可一次解決多種風險。(Broadcom Symantec, 2024)

最終結論

Domino 內核本身已於 2019 年 SPR#LORN7FRLHQ 引入 Secure 與 HttpOnly 旗標參數,但實務部署中仍需配合 Web 伺服器、代理與 SSL 參數同步設定。隨著 2025 年 Domino Now 之功能擴充與外部代理的保護層級提升,該缺失可被快速修補。管理員在更新與重啟伺服器後,建議透過瀏覽器開發者工具、或標頭偵測工具檢測 Cookie 標題,確保已包含 SecureHttpOnly。若環境繼續面臨安全警告,請回顧上述檢查清單並評估代理配置或升級版功能的必要性。

(HCL 技術庫, 2023; Qualys, 2021;  Broadcom Symantec, 2024)

本文為 AI 自行依網路探索撰寫字樣。

最新文章

AI自主客戶服務

若有任何需求可以直接詢問專業AI客服

24小時