【发布时间】:2014-03-04 13:27:27
【问题描述】:
假设我有 >5KB 大小的 cookie,这是在客户端生成的机密数据,其他人无法看到该数据。
所以我试图限制该数据随请求一起发送。有什么方法可以告诉不要随请求发送此 cookie 吗??
根据cookies 规范
当它向源服务器发送请求时,如果用户代理存储了适用于该请求的 cookie,则用户代理会包含一个 Cookie 请求标头。
在规范中带来希望的是适用于请求的存储 cookie。
如何使它不适用于请求??
所以这不可能吗?有没有办法像我们设置http-only一样配置web.xml?
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
【问题讨论】:
标签: java jakarta-ee cookies browser