Vaadin Flow 14 如何设置 HttpOnly cookie 标志

【问题标题】:Vaadin Flow 14 how to set HttpOnly cookie flagVaadin Flow 14 如何设置 HttpOnly cookie 标志
【发布时间】:2021-08-25 17:54:13
【问题描述】:

我们有一个 Vaadin Flow 14.x 企业应用程序,最近的安全审查强调了 JSESSIONID cookie 中没有设置 HttpOnly 标志。我们如何使用 Vaadin Flow 14 设置此标志?我已经搜索了很多,但没有找到任何对此的参考。

我们的应用使用嵌入式码头,但在这种情况下这可能无关紧要,因为它的 Vaadin 正在根据我们所知设置 JSESSIONID。

解决方案

如下所述的解决方案是配置嵌入式码头设置HttpOnly。就我而言,我是通过以下方式做到的:

WebAppContext context = new WebAppContext();
context.getSessionHandler().setHttpOnly(true);

【问题讨论】:

    标签: vaadin vaadin-flow


    【解决方案1】:

    关键是通过Jetty来配置这个。 Vaadin 只是使用javax.servlet.http.HttpSession,而没有直接接触任何低级会话管理细节,例如 cookie。

    【讨论】:

    • 所以我应该以某种方式向码头添加一个自定义 HttpSession 类?或者添加某种 HttpSession 创建监听器?我猜想在码头有一些这样的支持。
    • 如果您已经确定了正确的设置,那么在这种情况下分享它可能会很好,这样其他人就不必去寻找它了。
    • @LeifÅstrand 它已被编辑到原始问题中,尽管它的答案有点不寻常。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-10-13
    • 2022-01-07
    • 2012-05-18
    • 1970-01-01
    • 2011-05-18
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode