我需要保护JSESSIONID,特别是来自XSS。
以前我将HTTP-ONLY安全性约束添加到我的部署描述符(web.xml),但它在GAE Java中不起作用。有人曾经在Google AppEngine上试过吗?
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
谢谢