我需要限制对包含 session token 的 cookie 的访问,以便 javascript 无法访问它。 给出的建议是在 cookie 上设置 Secure 和 HttpOnly 标志。
我在使用@ResponseBody 时遇到了未设置 cookie 的问题,因此我在 HandlerInterceptor 中设置了 cookie。
public class COOKIEFilter implements org.springframework.web.servlet.HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
Cookie cookie = new Cookie("timestamp", new Long(new Date().getTime()).toString());
cookie.setSecure(true);
// how do I set the http-only flag?
httpServletResponse.addCookie(cookie);
return true;
}
如 chrome 控制台所示,已设置 Secure,但未设置 HTTP
我已经尝试在 servlet 3.0 sepcification 下向 web.xml 添加参数,允许在 session cookie 上设置安全和 http-only,但是因为我需要自己处理 session (Spring MVC 应用程序需要保持无状态) ,那对我不起作用。
更新:
我正在使用 Tomcat7,目前使用 Servlet 2.5 和 Spring 3.2.8。
最佳答案
它可以设置为 cookie.setHttpOnly(true) 就像您为安全所做的那样。
关于java - 在 Spring MVC Controller 中创建的 cookie 上设置 http-only,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29406002/