По умолчанию Glassfish v3 не устанавливает флаг httpOnly в cookie сеанса (при создании, как обычно, с помощью request.getSession()
).
Я знаю, существует метод javax.servlet.SessionCookieConfig.setHttpOnly()
, но я не уверен, если это лучший способ сделать это, и если да, то где лучше всего разместить эту строку.
BTW, конечно, это невозможно сделать в самом сервлете (например, в init()):
java.lang.IllegalStateException: PWC1426:
Unable to configure httpOnly session tracking cookie property for
servlet context /..., because this servlet context has already been initialized
Как правило, я предпочитаю использовать параметр конфигурации, например. в web.xml.