Как установить флаг HttpOnly на JSF / Richfaces - PullRequest
2 голосов
/ 16 сентября 2008

Я бы хотел добавить флаг HttpOnly к JSF/richfaces куки, особенно куки сессии, чтобы повысить уровень безопасности моего веб-приложения. Есть идеи?

Ответы [ 4 ]

1 голос
/ 16 сентября 2008
FacesContext facesContext = FacesContext.getCurrentInstance().getFacesContext();

HttpServletResponse response = (HttpServletResponse) facesContext.getExternalContext().getResponse();

response.addHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");
1 голос
/ 16 сентября 2008

Может быть что-то, что позволяет вам делать это в вашем движке сервлета. Это часть спецификации Servlet 3.0, которая еще не выпущена.

0 голосов
/ 16 сентября 2008

Я подозреваю, что мне понадобится использовать фильтр, чтобы добавить оболочку ответа, которая добавит флаг ко всем файлам cookie, когда они добавляются платформой.

0 голосов
/ 16 сентября 2008

Что-то вроде:

response.setHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");

может работать в среде Java. Я не знаю JSF-специфического способа добиться этого ... извините

Это кажется непростой задачей в Java.

...