在 JSESSIONID cookie 中设置 httponly (Java EE 5)
我正在尝试在JSESSIONID cookie上设置httponly标志。但是,我正在使用Java EE 5,并且无法使用.首先,我尝试通过使用 从 servlet 内部创建我自己的 JSESSIONID cookie。setHttpOnly()
doPost()
response.setHeader()
当这不起作用时,我尝试了.那也行不通。然后,我了解到servlet处理将会话转换为JSESSIONID cookie并将其插入http标头,因此,如果我想玩该cookie,我必须编写一个过滤器。我写了一个过滤器,并在那里玩/,再次无济于事。response.addHeader()
setHeader()
addHeader()
然后,我了解到在响应对象到达过滤器之前,响应对象中有一些刷新/关闭操作,因此,如果我想操作数据,我需要扩展并将其传递给 。这已经完成了,但我仍然没有得到结果。显然我做错了什么,但我不知道是什么。HttpServletResponseWrapper
filterChain.doFilter()
我不确定这是否与手头的问题有关,但是servlet没有将html文档返回给浏览器。真正发生的事情是,一些对象被填充并返回到JSP文档。我假设会话对象被转换为JSESSIONID cookie,并在发送到浏览器之前将它与添加到请求中的对象一起包装在http标头中。
我很乐意发布一些代码,但我想排除我的困难首先源于对理论的误解的可能性。