Согласно моему требованию по аудиту, все куки-файлы сеанса должны быть httpOnly и безопасными.Я сделал то же самое в игровой среде, установив
application.session.httpOnly=true
application.session.secure=true
Затем я должен защитить вызовы API токеном CSRF.Как задокументировано в Play https://www.playframework.com/documentation/2.3.x/JavaCsrf,, я изменил настройки и могу видеть файл cookie csrfToken в своем браузере.
Из-за httpOnly = true я не могу прочитать cookie csrfToken через javascript.Как получить csrfToken через angularjs в этом случае