Привет, я работаю над проблемой XSS (межсайтовый скриптинг). мое приложение разработано на портале oracle weblogic. мы используем версию Servlet 2.5.

Я добавил ниже 3 строки кода в фильтре для настройки httponly и безопасных куки. и работает нормально.

String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" +  sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");

Проблема заключается в том, что, когда я выхожу из системы и сразу же захожу в тот же браузер, я могу войти в систему, но после этого на страницах jsp я получаю проблему тайм-аута сессии. мы используем API-интерфейс, связанный с WebLogic. Аргумент request.getuserprinical () возвращает null. Полагаю, он имеет значение null.

Любая идея, пожалуйста, поделитесь.

если есть какие-либо другие способы установить httponly или безопасный флаг, пожалуйста, помогите.