httpOnly Cookie de Session + Servlet 3.0 (par exemple, Glassfish v3)

Par défaut, Glassfish v3 n'a pas mis le drapeau httpOnly sur les cookies de session (lors de la création comme d'habitude avec request.getSession()).

Je sais, il y a une méthode javax.servlet.SessionCookieConfig.setHttpOnly(), mais je ne suis pas sûr, si c'est la meilleure façon de le faire, et si oui, où est le meilleur endroit serait à la ligne.

BTW, bien sûr, il ne peut pas être fait dans la servlet (par exemple, dans init()):

java.lang.IllegalStateException: PWC1426: 
Unable to configure httpOnly session tracking cookie property for 
servlet context /..., because this servlet context has already been initialized

En général, je préfère utiliser une option de configuration par exemple, dans web.xml.

InformationsquelleAutor Chris Lercher | 2010-06-13
  1. 23

    C'est pris en charge par une Servlet 3.0 web.xml (voir web-common_3_0.xsd):

    <web-app>
  <session-config>
    <cookie-config>
      <!--             
        Specifies whether any session tracking cookies created 
        by this web application will be marked as HttpOnly
      -->
      <http-only>true</http-only>
    </cookie-config>
  </session-config>
</web-app>
    • Merci, ça a fonctionné! (J'avais seulement regardé dans le web app_3_0.xsd, et ne se rendent pas compte, que le schéma utilise <xsd:include schemaLocation="web-common_3_0.xsd"/>)
    • Vous êtes les bienvenus. Je ne savais pas trop, j'ai remarqué que pendant googler 🙂
    • Comment puis-je déclarer le web-common_3_0.xsd dans mon web.xml? J'ai mis à jour mon web.xml 3.0 <web-app xmlns="java.sun.com/xml/ns/javaee" xmlns:xsi="w3.org/2001/XMLSchema-instance" xsi:schemaLocation="java.sun.com/xml/ns/javaee web-app_3_0.xsd" version="3.0">
    InformationsquelleAutor Pascal Thivent
  2. 3

    Vous pouvez également ajouter <secure>true</secure> pour renforcer la sécurité.

    <session-config>
    <cookie-config>
        <http-only>true</http-only> 
        <secure>true</secure>
    </cookie-config>
</session-config>
    • Le secure tag est de m'envoyer un ViewExpiredException pour une raison quelconque. Ce qui me manque?
    InformationsquelleAutor Amir Md Amiruzzaman