Hola, estoy trabajando en el problema de XSS (secuencias de comandos entre sitios). Mi aplicación desarrollada en el portal weblogic oracle. Utilizamos la versión Servlet 2.5.

He agregado debajo de las 3 líneas de código en el filtro para configurar las cookies seguras y httponly. y está funcionando bien.

String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" +  sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");

El problema es cuando cierre sesión e inicie sesión de inmediato en el mismo navegador que puedo iniciar sesión, pero después de eso en las páginas jsp tengo un problema de tiempo de espera de sesión. utilizamos apis relacionados con weblogic. request.getuserprinical () api está devolviendo nulo ... supongo que se está configurando en nulo.

Cualquier idea por favor compartir.

Si hay alguna otra forma de establecer un marcador httponly o seguro, por favor ayuda.