我已在响应 header Set-Cookie
中设置了 HttpOnly
标志,如下所示
String sessionid = httpReq.getSession().getId();
httpRes.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";HttpOnly");
但我仍然可以通过浏览器控制台中的 document.cookie
访问 cookie。
我设置这个标志的方式是错误的吗?
最佳答案
如果您使用 Servlet 版本 3 或更高版本,您可以在 web.xml 中指定它,如下所示:
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
有关更多详细信息和配置选项,请参阅架构定义:http://www.oracle.com/webfolder/technetwork/jsc/xml/ns/javaee/web-common_3_0.xsd
关于java - HttpOnly 标志不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21696392/