@ httpOnly 옵션?
- cookie 옵션으로, RFC 에는 명시되어 있지 않지만, 지금은 거의 대부분의 브라우저들이 지원
- 이 옵션을 설정하면, 서버로 http Request 요청시에만 cookie 를 전송함.
- document.cookie 같은 스크립트 언어로 브라우저의 cookie 를 호출했을 때 브라우저가 응답을 하지 않음.
- servlet 3.0 부터 추가됨.
@ 설정 방법
1. Tomcat
- Tomcat 6.0.19 and Tomcat 5.5.28.부터 지원.
- conf/context.xml 에 설정.
<?xml version="1.0" encoding="UTF-8"?>
<Context path="/myWebApplicationPath" useHttpOnly="true">
2. JEUS
- JEUS 6.0 fix9 부터 지원 (http-only 를 true 설정하지 않아도 default 가 true)
- WEBMain.xml 이나 jeus-web-dd.xml 에 설정
<session-config>
<session-cookie>
<jsessionid-name>JSESSIONID</jsessionid-name>
<version>0</version>
<domain>.tmax.co.kr</domain>
<path>/</path>
<max-age>-1</max-age>
<secure>false</secure>
<http-only>true</http-only>
</session-cookie>
</session-config>
3. JBoss 5.0.1 and JBOSS EAP 5.0.1
- /server/<myJBossServerInstance>/deploy/jbossweb.sar/context.xml 에 설정
<Context cookies="true" crossContext="true">
<SessionCookie secure="true" httpOnly="true" />
4. IBM Websphere 다음 링크 참고 (어드민 콘솔에서 설정) http://pic.dhe.ibm.com/infocenter/tivihelp/v33r1/topic/com.ibm.mam.inswas.doc/install/t_configuringthehttponlyattribute.html
5. servlet 3.0 지원되는 경우 web.xml 에 설정 가능.
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee " target="_blank">http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
...
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
...