Я пробовал много способов использовать флаг httponly
для предотвращения атаки XSS
, но все потерпели неудачу.
Обычный способ - установить использование HttpOnly=true
в context.xml.
Для проверки результата: в java-коде задайте два тестовых параметра в файле cookie, а передний файл jsp включает javascript для оповещения thedocument.cookie
, два тестовых параметра, установленных в java-коде, получают и показывают в предупреждении.
Java-код:
Cookie cookie = new Cookie("httponlytest","testsss");
response.addCookie(cookie);
Cookie cookie1 = new Cookie("testhttponly","successfu");
response.addCookie(cookie1);
javascript в файле jsp:
alert("cookie------------"+document.cookie);
- Есть ли что-то, что я сделал неправильно?
- Если вы знаете, как, это было бы очень полезно.