Cookie http nur mit Federsicherheit und Servlet 2.5?

Ich hasse XML-Konfiguration, also verbringe ich etwas Zeit, um Nicht-XML-Lösung zu finden.

Seit Spring Security 1.3 können Sie

in Ihrer Datei application.properties .

Vielleicht gibt es eine Möglichkeit, dies mit reiner Java-Konfiguration zu tun, aber ich kann sie nicht finden.

Die von javagc erwähnten context.xml-Änderungen werden nur Ihren Sitzungscookie neu konfigurieren.

Um alle Ihre Cookies zu ändern, haben Sie zwei Möglichkeiten:

Option 1) Aktualisieren Sie Ihren Anwendungscode, um Cookies mit einer sichereren Methode hinzuzufügen. Beispiel: Ссылка

Option 2) Sie können einen Servlet-Filter konfigurieren, um ALLE (anderen) Cookies zu ändern, die durch das System kommen. Fügen Sie diese 2 Klassen dem entsprechenden Paket in Ihrem WAR hinzu. Aktualisieren Sie Ihre web.xml wie unten beschrieben.

Es gibt ein einfacheres Beispiel für Option 2 auf der OWASP-Site, wenn Sie bereit sind, eine Abhängigkeit von den OWASP-Bibliotheken hinzuzufügen. Das ist hier: Ссылка

Antwort-Wrapper

Dadurch wird allen Cookies auf der eingepackten Antwort das Nur-HTTP-Flag hinzugefügt.

Filter

Dieser Filter umschließt konfigurierte Antworten im obigen Wrapper.

Angepasst (ACHTUNG: KEINE exakte Kopie!) Quelle: Ссылка

web.xml

Ein letztes Detail: NUR, WENN Sie die Annotation in Ihrem System ausgeschaltet haben:

Dann müssen Sie den obigen Filter in Ihrer web.xml-Datei wie folgt manuell konfigurieren:

Wenn Ihre App Anmerkungen überprüft (Standardeinstellung), ist der Teil web.xml nicht erforderlich.