как установить httponly и сессионный cookie для веб-приложения Java
Привет, я работаю над проблемой XSS (межсайтовый скриптинг). мое приложение разработано на портале oracle weblogic. мы используем версию Servlet 2.5.
Я добавил ниже 3 строки кода в фильтре для настройки httponly и безопасных куки. и работает нормально.
String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");
Проблема заключается в том, что, когда я выхожу из системы и сразу же захожу в тот же браузер, я могу войти в систему, но после этого на страницах jsp я получаю проблему тайм-аута сессии. мы используем API-интерфейс, связанный с WebLogic. Аргумент request.getuserprinical () возвращает null. Полагаю, он имеет значение null.
Любая идея, пожалуйста, поделитесь.
если есть какие-либо другие способы установить httponly или безопасный флаг, пожалуйста, помогите.