使用 jsessionId 在 cookie 上将 httpOnly 和安全标志设置为 true 时出现问题

Problem when httpOnly and secure flag are setted to true on cookies using jsessionId

提问人:andreiiz 提问时间:10/2/2023 最后编辑:andreiiz 更新时间:10/2/2023 访问量:23

问:

我正在将 JBoss 和 Jersey 用于我的 Java Web 应用程序,我需要在我的 cookie 中将标志 httpOnly 和 secure 设置为 true。为了实现这一点,我实现了一个过滤器,将 secure 和 httpOnly 标志添加到所有响应中。但是,我遇到了一个问题,似乎 cookie 正在被拆分。具体来说,对于会话 cookie(例如 JSESSIONID),后续调用是在不同的 JBoss 会话上进行的,导致无法找到配置文件数据,因为每次调用看起来我都有不同的会话。

在我的 web.xml 中,我已经有以下配置:

<session-config>
    <session-timeout>30</session-timeout>
    <cookie-config>
        
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
  </session-config>

但是,当我在 Web 控制台中检查响应时,我没有看到在 cookie 响应上设置的标志。

有人可以提供有关如何将这些标志设置为 true 的指导,如果我只需要将其中一个设置为 true,以及为什么过滤器无法按预期工作?

java cookie jboss cookie-httponly

评论

答: 暂无答案

上一个:如何在泽西岛将xsrf-token cookie的HttpOnly标志设置为true?

下一个:在 Unity 中将 3D 场景导入 VR 项目不起作用