我们有一个Vaadin Flow 14。最近的安全审查强调了JSESSIONID cookie设置HttpOnly标志的缺失。我们如何在Vaadin Flow 14中设置这个标志?我已经搜索了很多,但没有找到任何参考资料。
我们的应用程序使用嵌入式jetty,但在这种情况下,这可能无关紧要,因为它的Vaadin会根据我们所知道的设置JSESSIONID。
<<p>解决方案/strong>下面描述的解决方案是配置嵌入式jetty来设置HttpOnly。在我的例子中,我通过:
WebAppContext context = new WebAppContext();
context.getSessionHandler().setHttpOnly(true);
关键是通过Jetty配置它。Vaadin只是使用javax.servlet.http.HttpSession,没有直接接触任何低级会话管理细节,如cookies。