Domyślnie Glassfish v3 nie ustawia flagi httpOnly na ciastkach sesji (gdy są one tworzone jak zwykle z request.getSession()
).httpOnly Session Cookie + Servlet 3.0 (np. Glassfish v3)
Wiem, że istnieje metoda javax.servlet.SessionCookieConfig.setHttpOnly()
, ale nie jestem pewien, czy to najlepszy sposób na zrobienie tego, a jeśli tak, to gdzie najlepiej umieścić tę linię.
okazji, oczywiście nie może być wykonane w samej serwletu (na przykład w init())
java.lang.IllegalStateException: PWC1426:
Unable to configure httpOnly session tracking cookie property for
servlet context /..., because this servlet context has already been initialized
ogólniej, wolą korzystać z opcji konfiguracji np w web.xml.
Dzięki, zadziałało! (Wyglądałem tylko w web-app_3_0.xsd i nie zdawałem sobie sprawy, że schemat używa ' ') –
@chris_l Nie ma za co. Nie wiedziałem też, zauważyłem, że podczas googlowania :) –
Jak mogę zadeklarować web-common_3_0.xsd w moim web.xml? Uaktualniłem mój web.xml do 3.0 –
user6123723