在Spring MVC Controller中创建的cookie上设置http-only
我需要限制对包含会话令牌的cookie的访问权限,以便javascript无法访问它。 给出的建议是在cookie上设置Secure和HttpOnly标志。
使用@ResponseBody时我没有设置cookie,所以我在HandlerInterceptor中设置了cookie。
public class COOKIEFilter implements org.springframework.web.servlet.HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
Cookie cookie = new Cookie("timestamp", new Long(new Date().getTime()).toString());
cookie.setSecure(true);
// how do I set the http-only flag?
httpServletResponse.addCookie(cookie);
return true;
}
如Chrome控制台所示,安装已设置,但不是HTTP
我已经尝试在servlet 3.0 sepcification下向web.xml添加参数,允许在会话cookie上设置安全和http-only,但是因为我需要自己处理会话(Spring MVC应用程序需要保持无状态) ,这对我不起作用。
更新
我正在使用Tomcat7,目前使用的是Servlet 2.5和Spring 3.2.8。
3 个答案:
答案 0 :(得分:4)
可以将其设置为cookie.setHttpOnly(true),就像安全一样。
答案 1 :(得分:1)
您需要将HttpOnly设置如下:
Cookie cookie = new Cookie("timestamp", new Long(new Date().getTime()).toString() + ";HttpOnly");
需要遵循cookieName=cookieValue;HttpOnly;Secure格式
答案 2 :(得分:-1)
替换:
Cookie cookie = new Cookie("timestamp", new Long(new Date().getTime()).toString());
以下
Cookie cookie = new Cookie("timestamp", new Long(new Date().getTime()).toString()+";HttpOnly");
这可能有用。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?