我已在响应标头HttpOnly中设置Set-Cookie标志,如下所示
String sessionid = httpReq.getSession().getId();
httpRes.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + ";HttpOnly");
但我仍然可以通过浏览器控制台中的document.cookie访问Cookie。
我设置这个标志的方式是错误的吗?
答案 0 :(得分:0)
如果您使用的是Servlet版本3或更高版本,则可以在web.xml中指定,如下所示:
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
有关详细信息和配置选项,请参阅架构定义:http://www.oracle.com/webfolder/technetwork/jsc/xml/ns/javaee/web-common_3_0.xsd