如何为Java Web应用程序设置httponly和会话cookie

如何为Java Web应用程序设置httponly和会话cookie

根据您的Web容器的具体情况，在应用程序中修改容器管理的会话cookie可能导致应用程序服务器抛弃现有会话并创建一个新会话。我已经在Tomcat上观察到了这一点，但对于Weblogic来说可能相似。

如果您使用的是Servlets 3.0，则实际上可以指示应用服务器确保所有会话cookie都是HttpOnly和Secure，并带有以下片段：

<session-config>  <cookie-config>    <secure>true</secure>    <http-only>true</http-only>  </cookie-config></session-config>

与使用过滤器手动修改cookie相比，这是一种更好的方法。

仅供参考：我还写了一个Java库，在基于Servlet的应用程序中注入了许多与安全性相关的响应标头。