Ich möchte die HttpOnly Flag zu JSF/richfaces Cookies hinzufügen, vor allem die Sitzungscookie, um die Sicherheitsstufe in meiner Web App zu erhöhen. Irgendwelche Ideen?Wie setze ich das HttpOnly Flag auf JSF/Richfaces
Etwas wie:
response.setHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");
in einer Java-Umgebung funktionieren könnte. Ich kenne keinen JSF-spezifischen Weg, dies zu erreichen ... sorry
Dies scheint in Java keine leichte Aufgabe zu sein.
Möglicherweise gibt es etwas, mit dem Sie dies in Ihrer Servlet-Engine tun können. Dies ist Teil der Servlet 3.0-Spezifikation, die noch veröffentlicht werden soll.
Ich vermute, dass ich einen Filter verwenden muss, um einen Antwortwrapper hinzuzufügen, der allen Cookies die Markierung hinzufügt, wenn sie vom Framework hinzugefügt werden.
FacesContext facesContext = FacesContext.getCurrentInstance().getFacesContext();
HttpServletResponse response = (HttpServletResponse) facesContext.getExternalContext().getResponse();
response.addHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");