Play2でHTTPS通信時のみCookieを送る

Play2でHTTPS通信時のみCookieを送る

Clock Icon2014.11.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

セッション情報をHTTPSのときだけ使えるようにする

Playではクッキー情報を使用して、セッション(≠HTTPセッション)情報を管理します。
そのため、通常のHTTPで通信したときにはクッキー情報が盗聴される危険があり、
セッション情報の盗聴へつなる可能性があります。
そんなときは、クッキー情報をHTTPSの通信のときだけ送るようにしましょう。

application.confを設定

クッキーをHTTPSのときだけ送るようにするのは簡単です。
下記のように、application.confでsession.secure属性をtrueに設定するだけです。

#conf/application.conf
・
・
session.secure=true
・
・

上記設定を行えばクッキー送信はHTTPSのときだけになりますので、
セッション情報等を設定するクッキーにはsecure設定をするようにしましょう。

蛇足ですが、ローカル開発環境でこの設定をtrueにしていたのを忘れて、HTTPでアクセスし、
Cacheからデータが取得できずに困ったことがあったので、注意しましょう。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.