Я работаю над проблемой XSS (межсайтовый скриптинг). Мое приложение работает на портале Oracle Weblogic. Мы используем Servlet версии 2.5.
Я добавил следующие 3 строки кода в фильтр для настройки httponly и безопасных файлов cookie, и он работает нормально.
String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");
Проблема в том, когда я выхожу из системы и сразу захожу в тот же браузер Я могу войти в систему, но после этого на страницах jsp появляется проблема с тайм-аутом сеанса. Мы используем API, связанные с WebLogic. API request.getuserprinical()
возвращает значение null. Полагаю, оно имеет значение null.
Пожалуйста, поделитесь любыми идеями.
Если есть другие способы установить httponly или безопасный флаг, пожалуйста, помогите.