httpOnlyクライアント側で Cookie が作成されないように、web.xml ファイルでパラメータ true を設定しています。これにより、Cookie の値が読み取られます。次の方法を使用して、GWT で JSESSIONID Cookie を読み取ります。
Cookie.getCookie("JSESSIONID");
これは未定義Httponly=trueを返します.web.xmlの属性を削除すると、正常に機能し、Cookieが返されます。
HttpOnly true で Cookie JSESSIONID Cookie を取得する方法を提案してください。
HttpOnlyあなたがそうであると思うものではありません。その唯一の目的は、Cookie をスクリプトに明示的に公開せず、HTTP レベルでのみ使用するようにブラウザーに指示することです。
クライアントによる Cookie の偽造を防ぐことはできません。いわゆるセッション固定攻撃によるクロスサイト リクエスト フォージェリ (CSRF) を防ぐ方法はいくつかありますが、HttpOnlyその 1 つではありません。HttpOnlyクロスサイト スクリプティング (XSS) に役立つため、ページに悪意のあるサード パーティのスクリプトが含まれている場合、Cookie を読み取ってサード パーティのサーバーに送信することはできません。おそらく、後でセッション固定攻撃に使用するためですが、これは、サイトがそれらに対して脆弱な場合にのみ可能です—.