[英]How can I set session cookies to be Http-Only in servlet API 2.5?
如何在servlet API 2.5中将会话cookie设置为仅Http-Only? 在servlet API 3.0中添加了Cookie.setHttpOnly方法。
我需要做同样的事情......
我正在考虑做一个servlet过滤器,用request.getCookies()
读取cookie,创建原始cookie(在StringBuilder中;不是对象Cookie),附加HttpOnly
并使用response.setHeader("Set-Cookie", rawCookies)
把它们放回去。
要注意的一件事是采取其他属性,如domain
, path
, secured
; 不只是name
和value
会告诉你这件事的进展的...
PS:还想到带有request.getHeader('COOKIES')
的头文件并使用正则表达式追加HttpOnly
,但看起来COOKIES
标题只会给你name
和value
属性
我想你会想要创建一些实用程序代码,它会带一个Cookie
和一个标志,表明你是否想要HttpOnly
。 该实用程序将为cookie创建关联的字符串标头,您可以将其传递给HttpServletResponse.addHeader("Set-Cookie", cookieHeader)
。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.