Я бы хотел добавить флаг HttpOnly к JSF/richfaces куки, особенно куки сессии, чтобы повысить уровень безопасности моего веб-приложения. Есть идеи?
HttpOnly
JSF/richfaces
FacesContext facesContext = FacesContext.getCurrentInstance().getFacesContext(); HttpServletResponse response = (HttpServletResponse) facesContext.getExternalContext().getResponse(); response.addHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");
Может быть что-то, что позволяет вам делать это в вашем движке сервлета. Это часть спецификации Servlet 3.0, которая еще не выпущена.
Я подозреваю, что мне понадобится использовать фильтр, чтобы добавить оболочку ответа, которая добавит флаг ко всем файлам cookie, когда они добавляются платформой.
Что-то вроде:
response.setHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");
может работать в среде Java. Я не знаю JSF-специфического способа добиться этого ... извините
Это кажется непростой задачей в Java.