如果我听起来很糟糕,请道歉。
我有一个xyz.war进行一些身份验证并设置一个Cookie(设置为HttpOnly,因此我无法通过javascript使其过期)以便当用户登录下次会话时维持。现在,鉴于我可以访问托管xyz.war的Tomcat,我如何编写可以expire/delete cookie的Java程序?我可以创建一个java项目的.war并将其托管在同一个Tomcat中,并通过api从客户端访问它。
答案 0 :(得分:2)
您可能会在xyz应用程序中使会话无效。第三方删除(因此可能使中间化)cookie是一个安全漏洞。