[英]Setting httponly in JSESSIONID cookie (Java EE 5)
我正在尝试在JSESSIONID cookie上设置httponly标志。 但是,我在Java EE 5中工作,不能使用setHttpOnly() 。 首先,我尝试使用response.setHeader()从servlet的doPost()创建自己的JSESSIONID cookie。
当这不起作用时,我尝试了response.addHeader() 。 那也行不通。 然后,我了解到servlet处理将会话转换为JSESSIONID cookie并将其插入http头中,因此如果我想使用该cookie,我将不得不编写一个过滤器。 我写了一个过滤器并在setHeader()玩setHeader() / addHeader() ,再次无济于事。
然后,我了解到响应对象在进入过滤器之前会有一些刷新/关闭动作,所以如果我想操纵数据,我需要扩展HttpServletResponseWrapper并将其传递给filterChain.doFilter() 。 这已经完成,但我仍然没有得到结果。 显然我做错了但我不知道是什么。
我不确定这与手头的问题是否完全相关,但servlet没有将任何html文档返回给浏览器。 所有真正发生的事情是正在填充一些对象并将其返回到JSP文档。 我有点假设Session对象被转换为JSESSIONID cookie,并在发送到浏览器之前将其与添加到请求中的对象一起包装在http标头中。
我很乐意发布一些代码,但我想排除我的困难源于对该理论的误解的可能性。
由于JSESSIONID cookie由servletcontainer管理,因此该设置是特定于servletcontainer的。 目前还不清楚你正在使用哪一个,所以这里是一个Apache Tomcat 6.0目标答案,这样你就知道你需要在哪个方向寻找你的servletcontainer:你需要将webapplication的<Context>元素的useHttpOnly属性设置为true 。
<Context useHttpOnly="true">
...
</Context>
另请参阅有关<Context>元素的Tomcat文档 。
您可以在Java EE 5中使用它:
对于Java EE 6之前的Java Enterprise Edition版本,常见的解决方法是使用显式附加HttpOnly标志的会话cookie值覆盖SET-COOKIE http响应头:
String sessionid = request.getSession().getId();
// be careful overwriting: JSESSIONID may have been set with other flags
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");
资料来源: https : //www.owasp.org/index.php/HttpOnly
我把它测试成一个过滤器
在Tomcat 6,Java 6上实现Struts 2并制作JSESSIONID cookie HttpOnly
[英]Struts 2 and making JSESSIONID cookie HttpOnly on Tomcat 6, Java 6
将cookie-config设置为httpOnly并在web.xml中安全后,无法读取JSESSIONID cookie
[英]Can not read JSESSIONID cookie after setting cookie-config to httpOnly and secure in web.xml
如何从设置了HttpOnly标志的浏览器中删除JSESSIONID cookie
[英]How delete the JSESSIONID cookie from the browser with HttpOnly flag set
Internet Explorer-通过客户端Java或C#代码设置会话Cookie来指定JSessionID
[英]Internet Explorer - Specify JSessionID by setting Session Cookie via Client Java or C# Code
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.