【发布时间】:2016-10-07 01:06:45
【问题描述】:
我正在处理 XSS(跨站点脚本)问题。我的应用程序在 Oracle Weblogic 门户上运行。我们使用 Servlet 2.5 版。
我在过滤器中添加了以下 3 行代码,用于设置 httponly 和安全 cookie, 它工作正常。
String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");
问题是当我注销并立即在同一个浏览器中登录时。我可以登录,但在那之后,在 jsp 页面上我遇到了会话超时问题。我们使用weblogic相关的api。 request.getuserprinical() api 正在返回 null.. 猜测它设置为 null。
请分享任何想法。
如果有其他方法可以设置 httponly 或安全标志,请帮助。
【问题讨论】:
标签: java security xss httponly