![](/img/trans.png)
[英]I cant import javax.servlet.FilterRegistration with javax.servlet version 2.5
[英]Setting an httponly cookie with javax.servlet 2.5
这是一个设置cookie的函数:
public void addCookie(String cookieName, String cookieValue, Integer maxAge, HttpServletResponse response) {
Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setPath("/mycampaigns");
cookie.setSecure(isSecureCookie);
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
}
我相信servlet 3.0,有一种方法可以直接执行此操作。 不幸的是,我的组织在这个时刻使用2.5和UPGRADING不是一个选项。
有没有办法使用响应来设置cookie? 这是我在网上找到的一个例子
response.setHeader("SET-COOKIE", "[SOME STUFF]" +"; HttpOnly")
如果这是我想要的唯一方法,那么我将取代“[SOME STUFF]”以便我不会丢失我的功能当前存储在cookie中的任何数据?
你是对的,手动设置标题是实现目标的正确方法。
您还可以使用javax.ws.rs.core.NewCookie或任何其他具有有用toString方法的类将cookie打印到标题以使事情更简单。
public static String getHttpOnlyCookieHeader(Cookie cookie) {
NewCookie newCookie = new NewCookie(cookie.getName(), cookie.getValue(),
cookie.getPath(), cookie.getDomain(), cookie.getVersion(),
cookie.getComment(), cookie.getMaxAge(), cookie.getSecure());
return newCookie + "; HttpOnly";
}
用法:
response.setHeader("SET-COOKIE", getHttpOnlyCookieHeader(myOriginalCookie));
此代码无需使用response.setHeader()
:
public void addCookie(String cookieName, String cookieValue, Integer maxAge, HttpServletResponse response) {
Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setPath("; HttpOnly;");
cookie.setSecure(isSecureCookie);
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
}
如果您不想使用:
response.addHeader("Set-Cookie","name=value; HttpOnly");
那么你可以在servlet 2.5中使用下面的代码。 它将在chrome , firefox和IE11中完美运行。
Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setPath(";Path=/;HttpOnly;");
cookie.setSecure(isSecureCookie);
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
注意 :如您所知,我们在servlet 2.5版本中没有setHttpOnly()
方法,因此您可以使用:
setPath(";Path=/;HttpOnly;");
它将使用路径“ / ”创建一个cookie,并将Cookie设置为HttpOnly
对于之前的JEE 6 Java企业版的版本,说的Servlet 2.5,你可以从找到一个解决方法这里在OWASP。 以下是一个例子:
/**
* Issue a cookie to the browser
*
* @param response
* @param cookieName
* @param cookieValue
* @param cookiePath
* @param maxAgeInSeconds
*/
public static void issueCookieHttpOnly(HttpServletResponse response,
String cookieName,
String cookieValue,
String cookiePath,
long maxAgeInSeconds) {
Date expireDate= new Date();
expireDate.setTime (expireDate.getTime() + (1000 * maxAgeInSeconds));
// The following pattern does not work for IE.
// DateFormat df = new SimpleDateFormat("dd MMM yyyy kk:mm:ss z");
// This pattern works for Firefox, Chrome, Safari and Opera, as well as IE.
DateFormat df = new SimpleDateFormat("EEE, dd-MMM-yyyy kk:mm:ss z");
df.setTimeZone(TimeZone.getTimeZone("GMT"));
String cookieExpire = df.format(expireDate);
StringBuilder sb = new StringBuilder(cookieName);
sb.append("=");
sb.append(cookieValue);
sb.append(";expires=");
sb.append(cookieExpire);
sb.append(";path=");
sb.append(cookiePath);
sb.append(";HttpOnly");
response.setHeader("SET-COOKIE", sb.toString());
}
对于Servlet API 2.5,您可以使用
response.addHeader("Set-Cookie","name=value; HttpOnly");
请小心使用response.setHeader(),因为它会删除所有其他cookie,例如JSESSIONID cookie。
如果你不想硬编码HttpOnly;
或者不喜欢添加标题,像这样使用apache shiro :
void addCookie(javax.servlet.http.Cookie httpCookie,
HttpServletRequest request,
HttpServletResponse response) {
org.apache.shiro.web.servlet.Cookie cookie =
new org.apache.shiro.web.servlet.SimpleCookie(httpCookie.getName());
cookie.setValue(httpCookie.getValue());
cookie.setPath(httpCookie.getPath());
// set other stuff from the original httpCookie
cookie.setHttpOnly(true);
cookie.saveTo(request, response);
}
Spring使用反射执行此操作而不会破坏servlet 2.5容器。
Method setHttpOnlyMethod = ReflectionUtils.findMethod(Cookie.class, "setHttpOnly", boolean.class);
if (setHttpOnlyMethod != null) {
ReflectionUtils.invokeMethod(setHttpOnlyMethod, cookie, Boolean.TRUE);
}
但是setHttpOnly方法仅适用于Servlet 3.0以上版本。
Cookie cookie = new Cookie("JSESSIONID", session.getId());
cookie.setPath("/");
cookie.setMaxAge(-1);
response.addCookie(cookie);
实际上在我的情况下,这段代码并不完全正常。
路径值不是"/"
但是添加这个cookie.setComment("; HttpOnly;");
工作良好!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.