スレッドで見たtomcat / Java webapps で HttpOnly Cookie を設定するにはどうすればよいですか? Tomcat 5.5.(>28) は、要素で指定されたベンダー固有のuseHttpOnly
属性をサポートするはずです。<Context>
この属性を、server.xml で構成されたすべてのコンテキストに追加しました。
ただし、 のみフラグJSESSIONID
が追加されました。"; httpOnly"
他のすべての Cookie は、追加する前とまったく同じuseHttpOnly="true"
です。
Set-Cookie=
JSESSIONID=25E8F...; Path=/custompath; HttpOnly
mycustomcookie1=xxxxxxx; Path=/
mycustomcookie2=1351101062602; Path=/
mycustomcookie3=0; Path=/
mycustomcookie4=1; Path=/; Secure
mycustomcookie5=4000; Expires=Sat, 22-Oct-2022 17:51:02 GMT; Path=/
他に変更する必要があるものはありますか?
(Tomcat 6 または 7 へのアップグレードは、現時点ではオプションではありません。当社のシステムは、Tomcat 5.5 に基づくサードパーティのフレームワークを使用しています)