如何在 servlet API 2.5 中将会话 cookie 设置为 Http-Only？答案

【问题标题】：How can I set session cookies to be Http-Only in servlet API 2.5?如何在 servlet API 2.5 中将会话 cookie 设置为 Http-Only？
【发布时间】：2011-01-23 17:21:33
【问题描述】：

如何在 servlet API 2.5 中将会话 cookie 设置为 Http-Only？ Servlet API 3.0 中添加了 Cookie.setHttpOnly 方法。

【问题讨论】：

这真的取决于AppServer。在此处查看我之前的答案：http://stackoverflow.com/questions/33412/how-do-you-configure-httponly-cookies-in-tomcat-java-webapps/1088009#1088009
您能否澄清一下您是指特定的 JSESSIONID cookie 还是一般不会超出浏览器会话的 cookie。
我意识到这是一个老问题，但我想出了一个解决方案 - 请参阅我对How do you configure HttpOnly cookies in tomcat / java webapps?的回答

标签： java servlets

【解决方案1】：

我需要做同样的事情......

我正在考虑做一个 servlet 过滤器，使用 request.getCookies() 读取 cookie，创建原始 cookie（在 StringBuilder 中；而不是对象 Cookie），附加 HttpOnly 并使用 response.setHeader("Set-Cookie", rawCookies) 将它们放回去。

需要注意的一点是获取其他属性，例如domain、path、secured；不仅仅是name和value

会告诉你进展如何...

PS: 还想过用request.getHeader('COOKIES') 获取标题并使用正则表达式附加HttpOnly，但似乎标题COOKIES 只会给你name 和value 属性

【讨论】：

【解决方案2】：

我认为您会想要创建一些实用程序代码，该代码将采用Cookie 和一个标志来表示您是否需要HttpOnly。该实用程序将为 cookie 创建关联的字符串标头，您可以将其传递给 HttpServletResponse.addHeader("Set-Cookie", cookieHeader)。

【讨论】：