Vaadin Flow 14 如何设置 HttpOnly cookie 标志

Vaadin Flow 14 how to set HttpOnly cookie flag

我们有一个 Vaadin Flow 14.x 企业应用程序,最近的安全审查强调缺少使用 JSESSIONID cookie 设置的 HttpOnly 标志。我们如何使用 Vaadin Flow 14 设置此标志?我搜索了很多,但没有找到任何对此的引用。

我们的应用程序使用嵌入式码头,但在这种情况下这可能无关紧要,因为它的 Vaadin 根据我们所知设置了 JSESSIONID。

解决方案

下面介绍的解决方案是配置嵌入式jetty设置HttpOnly。就我而言,我是通过以下方式完成的:

WebAppContext context = new WebAppContext();
context.getSessionHandler().setHttpOnly(true);

关键是通过Jetty来配置这个。 Vaadin 仅使用 javax.servlet.http.HttpSession 而不直接接触任何低级会话管理细节,例如 cookie。