我想将HttpOnly标志添加到JSF / richfacescookie中，尤其是会话cookie，以提高Web应用程序的安全性。有任何想法吗？

解决方案

回答

就像是：

response.setHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");

可能在Java环境中工作。我不知道特定于JSF的方式来实现这一目标...对不起

在Java中，这似乎并非易事。

回答

可能有些事情允许我们在servlet引擎中执行此操作。这是尚未发布的Servlet 3.0规范的一部分。

回答

我怀疑我将需要使用过滤器来添加响应包装器，该响应包装器将在框架添加的所有cookie中添加标志。

回答

FacesContext facesContext = FacesContext.getCurrentInstance().getFacesContext();

HttpServletResponse response = (HttpServletResponse) facesContext.getExternalContext().getResponse();

response.addHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");