Привет, Я работаю над проблемой XSS (межсайтовый скриптинг). мое приложение развивается на веб-портале oracle. мы используем версию Servlet 2.5.Как установить httponly и session cookie для веб-приложения java
Я добавил ниже 3 строки кода в фильтр для установки httponly и безопасного куки-файлов. и все работает нормально.
String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");
Вопрос в том, когда я выйти из системы и войти в систему сразу в том же браузере, я могу войти в систему, но после этого на страницах JSP я получаю вопрос тайм-аут сеанса. мы используем apis. request.getuserprinical() api возвращает null .. угадайте, что он устанавливает значение null.
любая идея делитесь.
Если есть другие способы установить httponly или secure flag, пожалуйста, помогите.
Не могли бы вы проверить этот вопрос Джейсона? http://stackoverflow.com/questions/28341645/is-it-possible-to-use-https-only-for-login-in-spring-security. Я думаю, вы могли бы много помочь, и это имеет сходство с этим вопросом:) – mannuk