Мы разрабатываем приложение с помощью Play! 1.2.5 и развертывание в Google App Engine. В application.conf я установил файл cookie сеанса как httpOnly и безопасный:
application.session.httpOnly=true
application.session.secure=true
Когда я запускаю запрос локально, я вижу, что заголовки установлены правильно:
Set-Cookie: PLAY_SESSION=something;Expires=Mon, 10-Dec-2012 14:51:56 GMT;Path=/;Secure;HTTPOnly
При развертывании в Google App Engine я не вижу никаких флагов Secure или HTTPOnly для устанавливаемых файлов cookie. Почему?
Я не могу найти подобные проблемы в Интернете. Самое близкое, что я прочитал, это то, что GAE не поддерживает response.setHttpOnly (или что-то подобное), но из Play! исходный код я вижу, как создается простой файл cookie со значением httpOnly, установленным в логическое значение и записываемым в ответ. Не уверен, почему GAE не приняла бы это.
Спасибо!