我正在尝试设置一个应用程序,将 httponly 和安全标志设置为 true,但一旦我通过添加请求的 cookie-config 标签来编辑 web.xml 文件,如下所示:
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
我在提交的第一个命令链接处收到 ViewExpiredException。
我的 web.xml 文件中完整的 session-config
标记是
<session-config>
<session-timeout>5</session-timeout>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
我一直在尝试了解错误可能是什么,但找不到任何内容。
当命令链接通过ajax调用bean中的方法时,我的托管bean被注释为@SessionScoped。
最佳答案
Cookie 上的安全
意味着 Cookie 只会针对 HTTPS 连接设置。
如果您通过 http 访问您的应用程序,则不会传输 cookie,并且不会有 session (因此根本没有 session 范围或 View 范围的 Bean 或 View 状态)。
您可以将状态保存切换到客户端,但您真正想要的是使用 HTTPS。
关于java - java 应用程序 servlet 3 中的 httponly 和安全标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46156103/