java - HttpOnly 标志不起作用

标签 java javascript http-headers xss

我已在响应 header Set-Cookie 中设置了 HttpOnly 标志，如下所示

String sessionid = httpReq.getSession().getId();
httpRes.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";HttpOnly");

但我仍然可以通过浏览器控制台中的 document.cookie 访问 cookie。我设置这个标志的方式是错误的吗？

最佳答案

如果您使用 Servlet 版本 3 或更高版本，您可以在 web.xml 中指定它，如下所示:

  <session-config>
    <cookie-config>
      <http-only>true</http-only>
    </cookie-config>
  </session-config>

有关更多详细信息和配置选项，请参阅架构定义:http://www.oracle.com/webfolder/technetwork/jsc/xml/ns/javaee/web-common_3_0.xsd

关于java - HttpOnly 标志不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/21696392/

上一篇：java - 为什么部署后在 RESTEasy (wildfly) 上出现 404 错误？

下一篇：r - 使用 group_by(多个变量)时的 dplyr 问题

相关文章：

java - 错误:not a statement

javascript - 单击 div 时从数组 jQuery 循环 img src

json - RESTful JSON 的链接 header 与链接元素

java - 如何访问和提交卡夫卡__consumer_offsets主题的偏移量？

java - 使用基本逻辑创建 N×N 对角矩阵

java - 如何在 Embedded JDK compact 中使用 log4j 1/2/3

javascript - Javascript 是一个合适的加密平台吗？或者，可以吗？

javascript - JS : Set animation duration for change of src

asp.net-mvc - 当没有明确指示时，浏览器为什么/如何知道缓存内容(html、css、js 等)

ruby-on-rails - 如何处理仅供其他第三方应用程序访问的 Web 应用程序的 HTTP 身份验证？

©2024 IT工具网联系我们