application.confでapplication.session.httpOnly=trueを設定し、warファイルを生成してtomcatにデプロイしています。
HttpOnly = Noとして生成されたCookieがまだ表示されており、編集可能です。
これは、Tomcat 6(つまりサーブレットAPI 2.x)で実行されているplay1.xの問題です。どうやら、Cookieのhttp onlyフラグはサーブレット3.0でのみ導入されたため、Tomcat7以降でのみ使用可能です。
これまでのところ、誰かがこれの回避策を特定しましたか(Tomcat6.xのplay1.x用にhttpのみのCookieを使用できます)?tomcatのコンテキストのhttpOnlyフラグは、tomcatのjsessionidcookieに対してのみ機能します。
また、サーブレット3.0でplay 1.xアプリを実行できますか?
PS:これはPlay FrameworkのGoogleグループにも投稿されましたが、応答がなかったため、SOに投稿しました。