HttpOnly куки на Google App Engine Java

Question

Кто-нибудь знает, как я могу использовать файлы cookie httponly для сеансов и файлы cookie в движке приложения?

В javadoc для класса Cookie, http://java.sun.com/javaee/6/docs/api/javax/servlet/http/Cookie.html#setHttpOnly(boolean), есть метод setHttpOnly.

Я получаю ошибку компилятора при попытке использовать его при разработке для движка приложения.

Метод был введен в спецификации Servlet 3.0, поэтому он довольно новый.

Answer 1

App Engine поддерживает Servlet API версии 2.5, поэтому вы не можете использовать метод setHttpOnly.

Вы можете попытаться вывести заголовок cookie самостоятельно.

resp.setHeader("Set-Cookie", "A=7; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly");

Answer 2

С 2017 года GAE поддерживает сервлет API 3.1 Итак, я протестировал следующую опцию cookie внутри web.xml, и она работает:

<session-config>
  <cookie-config>
    <http-only>true</http-only>
  </cookie-config>
</session-config>