如何使用Seedstack保证会话cookie的安全？

Question

我在一个SeedStack应用程序中使用Web，但是需要使用httpOnly标志来保护会话cookie。

由于没有配置选项，我如何使用当前版本来实现此功能？

Answer 1

现在还不能配置Undertow使用的会话cookie，但我添加了相关的选项，以便在即将到来的版本(4月底的20.4)中实现。

目前，作为一种解决方法，您可以实现ServletContainerInitializer来手动配置会话cookie：

public class MyServletContainerInitializer implements ServletContainerInitializer {
    @Override
    public void onStartup(Set<Class<?>> classes, ServletContext servletContext) {
        servletContext.getSessionCookieConfig().setHttpOnly(true);
    }

您的类必须在META-INF/services/javax.servlet.ServletContainerInitializer文件中注册：

org.myorg.myproject.MyServletContainerInitializer

请注意，您可以使用Seed.baseConfiguration()静态地获取配置外观。这使得使用应用配置更改cookie选项成为可能。