javax.servlet.http.Cookie implements java.lang.Cloneable
In der Cookie-Methode gibt es einen Methodenaufruf "setSecure", für was wird es verwendet? Wenn ich setSecure (true) setze, muss ich irgendetwas auf meiner Clientseite (javascript) tun, um den Cookie zu lesen? was ist anders set/ohne setSecure?Servlet-Set Cookie sicher?
Alles, was setSecure(true) ist, teilt dem Browser mit, dass der Cookie nur zurück an den Server gesendet werden soll, wenn ein "sicheres" Protokoll verwendet wird, wie https. Ihr JavaScript-Code muss nichts anderes tun.
Yup dies stellt sicher, dass Ihre Sitzung Cookie ist nicht sichtbar für einen Angreifer wie Man-in-the-Middle-Angriff. Anstatt es manuell zu setzen, können Sie Ihre web.xml alternativ konfigurieren, um es für Sie zu behandeln automatisch.
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>