Tag: httponly

在谷歌应用程序引擎java上的HttpOnly cookie: 任何人都知道如何在应用引擎上使用httponly cookie进行会话和cookie？在Cookie类的javadoc中， http：//java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly (boolean ），有一个setHttpOnly方法。尝试在为app引擎开发时使用它时出现编译器错误。该方法是在Servlet 3.0规范中引入的，因此它非常新颖。

在JSESSIONID cookie中设置httponly（Java EE 5）: 我正在尝试在JSESSIONID cookie上设置httponly标志。但是，我在Java EE 5中工作，不能使用setHttpOnly() 。首先，我尝试使用response.setHeader()从servlet的doPost()创建自己的JSESSIONID cookie。当这不起作用时，我尝试了response.addHeader() 。那也行不通。然后，我了解到servlet处理将会话转换为JSESSIONID cookie并将其插入http头中，因此如果我想使用该cookie，我将不得不编写一个filter。我写了一个filter并在setHeader()玩setHeader() / addHeader() ，再次无济于事。然后，我了解到响应对象在进入filter之前有一些刷新/关闭动作，所以如果我想操纵数据，我需要扩展HttpServletResponseWrapper并将其传递给filterChain.doFilter() 。这已经完成，但我仍然没有得到结果。显然，我做错了什么，但我不知道是什么。我不确定这与手头的问题是否完全相关，但是servlet没有向浏览器返回html文档。所有真正发生的事情是正在填充一些对象并将其返回到JSP文档。我有点假设Session对象被转换为JSESSIONID cookie，并在发送到浏览器之前将其与添加到请求中的对象一起包装在http标头中。我很乐意发布一些代码，但我想排除我的困难可能源于对理论的误解。

如何为java Web应用程序设置httponly和会话cookie: 嗨，我正在研究XSS（跨站脚本）问题。我的应用程序在oracle weblogic门户上开发。我们使用Servlet 2.5版本。我在filter中添加了以下3行代码，用于设置httponly和安全cookie。它工作正常。 String sessionid = req.getSession().getId(); res.setHeader(“Set-Cookie”, “JSESSIONID=” + sessionid + “;HttpOnly”); res.setHeader(“SET-COOKIE”, “JSESSIONID=” + sessionid + “; secure”); 问题是，当我在同一个浏览器中注销并立即登录时，我能够登录，但在jsp页面上，我收到会话超时问题。我们使用weblogic相关的apis。 request.getuserprinical（）api返回null ..猜测它设置为null。任何想法请分享。如果有任何其他方式设置httponly或安全标志请帮助。