2

application.confでapplication.session.httpOnly=trueを設定し、warファイルを生成してtomcatにデプロイしています。

HttpOnly = Noとして生成されたCookieがまだ表示されており、編集可能です。

これは、Tomcat 6(つまりサーブレットAPI 2.x)で実行されているplay1.xの問題です。どうやら、Cookieのhttp onlyフラグはサーブレット3.0でのみ導入されたため、Tomcat7以降でのみ使用可能です。

これまでのところ、誰かがこれの回避策を特定しましたか(Tomcat6.xのplay1.x用にhttpのみのCookieを使用できます)?tomcatのコンテキストのhttpOnlyフラグは、tomcatのjsessionidcookieに対してのみ機能します。

また、サーブレット3.0でplay 1.xアプリを実行できますか?

PS:これはPlay FrameworkのGoogleグループにも投稿されましたが、応答がなかったため、SOに投稿しました。

4

1 に答える 1

0

このアプリはTomcat7で実行できるはずです。理由は、Warファイルをデプロイしますが、PlayはサーブレットAPIを使用していないため、問題にはならないためです。とはいえ、問題はWarファイルを生成するアドオンである可能性があります。私はそれを使用した経験がないのではないかと思います。

回避策では、Playで利用可能な統合サーバーを使用するだけです。Tomcatで実行している場合、Tomcatはルールを設定するため、HttpOnlyは使用できません。統合されたNettyを使用する場合は、それがあります。

于 2012-11-09T15:50:46.463 に答える