使用javax.servlet 2.5设置httponly cookie

Question

这是一个设置cookie的函数：

public void addCookie(String cookieName, String cookieValue, Integer maxAge, HttpServletResponse response) {
    Cookie cookie = new Cookie(cookieName, cookieValue);
    cookie.setPath("/mycampaigns");
    cookie.setSecure(isSecureCookie);
    cookie.setMaxAge(maxAge);
    response.addCookie(cookie);
}

我相信servlet 3.0，有一种方法可以直接执行此操作。 不幸的是，我的组织在这个时刻使用2.5和UPGRADING不是一个选项。

有没有办法使用响应来设置cookie？ 这是我在网上找到的一个例子

response.setHeader("SET-COOKIE", "[SOME STUFF]" +"; HttpOnly")

如果这是我想要的唯一方法，那么我将取代“[SOME STUFF]”以便我不会丢失我的功能当前存储在cookie中的任何数据？

Answer 1

你是对的，手动设置标题是实现目标的正确方法。

您还可以使用javax.ws.rs.core.NewCookie或任何其他具有有用toString方法的类将cookie打印到标题以使事情更简单。

public static String getHttpOnlyCookieHeader(Cookie cookie) {

    NewCookie newCookie = new NewCookie(cookie.getName(), cookie.getValue(), 
            cookie.getPath(), cookie.getDomain(), cookie.getVersion(), 
            cookie.getComment(), cookie.getMaxAge(), cookie.getSecure());

    return newCookie + "; HttpOnly";
}

用法：

response.setHeader("SET-COOKIE", getHttpOnlyCookieHeader(myOriginalCookie));

Answer 2

此代码无需使用response.setHeader() ：

public void addCookie(String cookieName, String cookieValue, Integer maxAge, HttpServletResponse response) {  
    Cookie cookie = new Cookie(cookieName, cookieValue);
    cookie.setPath("; HttpOnly;");
    cookie.setSecure(isSecureCookie);
    cookie.setMaxAge(maxAge);
    response.addCookie(cookie);
}

Answer 3

如果您不想使用：

response.addHeader("Set-Cookie","name=value; HttpOnly");

那么你可以在servlet 2.5中使用下面的代码。 它将在chrome ， firefox和IE11中完美运行。

Cookie cookie = new Cookie(cookieName, cookieValue);

cookie.setPath(";Path=/;HttpOnly;");
cookie.setSecure(isSecureCookie);
cookie.setMaxAge(maxAge);

response.addCookie(cookie);

注意：如您所知，我们在servlet 2.5版本中没有setHttpOnly()方法，因此您可以使用：

setPath(";Path=/;HttpOnly;");

它将使用路径“ / ”创建一个cookie，并将Cookie设置为HttpOnly

Answer 4

对于之前的JEE 6 Java企业版的版本，说的Servlet 2.5，你可以从找到一个解决方法这里在OWASP。 以下是一个例子：

    /**
     * Issue a cookie to the browser
     * 
     * @param response
     * @param cookieName
     * @param cookieValue
     * @param cookiePath
     * @param maxAgeInSeconds
     */
    public static void issueCookieHttpOnly(HttpServletResponse response, 
            String cookieName, 
            String cookieValue, 
            String cookiePath, 
            long maxAgeInSeconds) {

        Date expireDate= new Date();
        expireDate.setTime (expireDate.getTime() + (1000 * maxAgeInSeconds));
        // The following pattern does not work for IE.
        // DateFormat df = new SimpleDateFormat("dd MMM yyyy kk:mm:ss z");

        // This pattern works for Firefox, Chrome, Safari and Opera, as well as IE.
        DateFormat df = new SimpleDateFormat("EEE, dd-MMM-yyyy kk:mm:ss z");
        df.setTimeZone(TimeZone.getTimeZone("GMT"));
        String cookieExpire = df.format(expireDate);

        StringBuilder sb = new StringBuilder(cookieName);
        sb.append("=");
        sb.append(cookieValue);
        sb.append(";expires=");
        sb.append(cookieExpire);
        sb.append(";path=");
        sb.append(cookiePath);
        sb.append(";HttpOnly");

        response.setHeader("SET-COOKIE", sb.toString());
    }

Answer 5

对于Servlet API 2.5，您可以使用

response.addHeader("Set-Cookie","name=value; HttpOnly");

请小心使用response.setHeader（），因为它会删除所有其他cookie，例如JSESSIONID cookie。

Answer 6

如果你不想硬编码HttpOnly; 或者不喜欢添加标题，像这样使用apache shiro ：

void addCookie(javax.servlet.http.Cookie httpCookie,
               HttpServletRequest request,
               HttpServletResponse response) {
    org.apache.shiro.web.servlet.Cookie cookie =
                 new org.apache.shiro.web.servlet.SimpleCookie(httpCookie.getName());

    cookie.setValue(httpCookie.getValue());
    cookie.setPath(httpCookie.getPath());
    // set other stuff from the original httpCookie
    cookie.setHttpOnly(true);

    cookie.saveTo(request, response);
}

Answer 7

Spring使用反射执行此操作而不会破坏servlet 2.5容器。

Method setHttpOnlyMethod = ReflectionUtils.findMethod(Cookie.class, "setHttpOnly", boolean.class);
if (setHttpOnlyMethod != null) {
    ReflectionUtils.invokeMethod(setHttpOnlyMethod, cookie, Boolean.TRUE);      
}

但是setHttpOnly方法仅适用于Servlet 3.0以上版本。

Answer 8

Cookie cookie = new Cookie("JSESSIONID", session.getId());
cookie.setPath("/");
cookie.setMaxAge(-1);
response.addCookie(cookie);

实际上在我的情况下，这段代码并不完全正常。
路径值不是"/"

但是添加这个cookie.setComment("; HttpOnly;"); 工作良好！

使用javax.servlet 2.5设置httponly cookie

问题描述

8 个解决方案

解决方案1
9 2014-03-21 02:51:56

解决方案2
4 2014-08-05 14:26:24

解决方案3
4 2017-01-25 15:17:29

解决方案4
3 2015-05-27 16:42:39

解决方案5
3 2016-01-18 16:24:34

解决方案6
1 2017-04-18 06:46:18

解决方案7
0 2016-06-03 09:57:38

解决方案8
0 2017-02-09 09:09:37

使用javax.servlet 2.5设置httponly cookie

问题描述

8 个解决方案

解决方案1 9 2014-03-21 02:51:56

解决方案2 4 2014-08-05 14:26:24

解决方案3 4 2017-01-25 15:17:29

解决方案4 3 2015-05-27 16:42:39

解决方案5 3 2016-01-18 16:24:34

解决方案6 1 2017-04-18 06:46:18

解决方案7 0 2016-06-03 09:57:38

解决方案8 0 2017-02-09 09:09:37

解决方案1
9 2014-03-21 02:51:56

解决方案2
4 2014-08-05 14:26:24

解决方案3
4 2017-01-25 15:17:29

解决方案4
3 2015-05-27 16:42:39

解决方案5
3 2016-01-18 16:24:34

解决方案6
1 2017-04-18 06:46:18

解决方案7
0 2016-06-03 09:57:38

解决方案8
0 2017-02-09 09:09:37