Je souhaite ajouter l'indicateur HttpOnly aux cookies JSF/richfaces, en particulier le cookie de session, pour augmenter le niveau de sécurité de mon application Web. Des idées?Comment définir l'indicateur HttpOnly sur JSF/Richfaces
Quelque chose comme:
response.setHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");
pourrait fonctionner dans un environnement Java. Je ne suis pas au courant d'un moyen spécifique JSF pour y parvenir ... désolé
Cela semble être pas une tâche facile en Java.
Il peut y avoir quelque chose qui vous permet de le faire dans votre moteur de servlet. Cela fait partie de la spécification Servlet 3.0 qui n'a pas encore été publiée.
Je suspecte que j'aurai besoin d'utiliser un filtre pour ajouter une enveloppe de réponse, qui ajoutera l'indicateur à tous les biscuits pendant qu'ils sont ajoutés par le cadre.
FacesContext facesContext = FacesContext.getCurrentInstance().getFacesContext();
HttpServletResponse response = (HttpServletResponse) facesContext.getExternalContext().getResponse();
response.addHeader("Set-Cookie", "yourcookiename=yourcookievalue; HTTPOnly");