Добавить HttpOnly флаг в куки на лету с Apache?

Question

Итак, у меня есть веб-приложение на Java, которое использует tomcat со слоем прокси-сервера Apache.Я хочу, чтобы все файлы cookie, установленные в приложении, имели флаг httpOnly.Проблема в том, что tomcat отвечает за установку флага со стороны приложения, и его значение по умолчанию (в сервлете api 2.5) равно false.Я надеялся, что смогу установить этот флаг для всех файлов cookie на лету, используя apache.

Я пробовал разные комбинации, и самое близкое, что я получил, - это установка последнего файла cookie, переданного httpOnly, что, конечно, неправильно:

Header append Set-Cookie "; HttpOnly"

У меня нет возможности узнать, какие файлы cookie / значения будут передаваться из приложения.Это вообще возможно?

Answer 1

Преимущество следующего переписывания mod_headers в том, что оно не будет дублировать HttpOnly, если оно уже есть, если для вас это важно:

  Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"

См:

• Где я нашел вышеприведенное регулярное выражение
• Объяснение того, почему все эти круглые скобки с отрицательным прогнозным утверждением ищут поиск строк, содержащих или не содержащих определенные слова
• Пост, в котором я нашел небольшое улучшение для регулярного выражения (поиск по заголовку редактировать Set-Cookie)

Answer 2

Попробуйте следующую директиву mod_headers.

Header edit Set-Cookie ^(.*)$ $1;HttpOnly