我在 index.jsp 页面中有我的 GWT 代码,当我查看页面信息(安全/cookie)时,我看到 JSESSIONID cookie 分配给“subdomain.mysite.com”。
在我的客户端代码中,我这样做:
Window.alert("cookies=" + Cookies.getCookieNames().toString);
我看到两个分配给“mysite.com”的 cookie,但我没有看到 JSESSIONID。该页面的当前 url 是“subdomain.mysite.com”——它不应该给我 cookie 吗? 当我刷新或在点击事件中显示 cookie 时,我仍然看不到 JSESSIONID cookie。
为什么我不能在客户端获取它?
最佳答案
您的应用程序服务器是否配置为在 JSESSIONID cookie 上设置 HTTPOnly 标志?如果是这样,客户端代码将无法看到它
参见 https://www.owasp.org/index.php/HttpOnly
设置 HTTPOnly 标志通常是一种很好的安全做法 - 您能否阐明为什么要在客户端代码中访问 JSESSIONID cookie?
关于java - 为什么我无法在客户端获取 GWT 中的 JSESSIONID cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8714029/