关于如何为web.xml中的cookie配置HttpOnly和secure标志,有各种各样的示例,例如in OWASP,它的工作方式如下:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
但是,我无法在servlet specification 4.0中找到它。它确实提到了session-config,但仅在“图14-7”中的图像中显示了cookie-config,而没有显示文本。
servlet规范中是否缺少cookie-config?
看到Where can I find the full documentation of deployment descriptor(web.xml)后,我发现它是在web-common_4_0.xsd的第909行以下定义的。不过,在规范中仍未提及。