我正在使用在Tomcat 6上运行的使用Servlet API v2.5的Web应用程序,我需要向客户端发送HttpOnly cookie。我不讨论servlet容器生成的会话cookie(this question极好地介绍了),但使用response.addCookie()将自定义cookie添加到响应中。
v2.5中不存在Cookie#setHttpOnly()方法,因此我必须自己构建HTTP标头并添加HttpOnly标记。有没有一种简单的方法可以做到这一点,而无需从头开始自己实现RFC 6265?
答案 0 :(得分:0)
也许您需要实现一个org.apache.catalina.Valve(它与Servlet过滤器的工作原理非常相似)并将cookie转换为org.apache.tomcat.util.http.ServerCookie,以便您可以访问低级别的详细信息以便坚持'HttpOnly'在那里。