我正在尝试设置一个httponly和安全标志设置为true的应用程序,但是一旦我通过添加请求的cookie-config标记来编辑我的web.xml文件,如下所示:
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
我在提交的第一个命令链接上收到了一个ViewExpiredException。
我的web.xml文件中的完整session-config标记是
<session-config>
<session-timeout>5</session-timeout>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
我一直试图了解错误是什么,但找不到任何东西。
我的托管bean注释为@SessionScoped,而命令链接通过ajax调用bean中的方法。
答案 0 :(得分:1)
Secure表示只为HTTPS连接设置cookie。
如果您通过http访问您的应用程序,则不会传输cookie,也不会有会话(因此根本没有会话或视图范围的bean或视图状态)。
您可以将状态保存切换到客户端,但实际需要的是使用HTTPS。