この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
セッション情報をHTTPSのときだけ使えるようにする
Playではクッキー情報を使用して、セッション(≠HTTPセッション)情報を管理します。 そのため、通常のHTTPで通信したときにはクッキー情報が盗聴される危険があり、 セッション情報の盗聴へつなる可能性があります。 そんなときは、クッキー情報をHTTPSの通信のときだけ送るようにしましょう。
application.confを設定
クッキーをHTTPSのときだけ送るようにするのは簡単です。 下記のように、application.confでsession.secure属性をtrueに設定するだけです。
#conf/application.conf
・
・
session.secure=true
・
・
上記設定を行えばクッキー送信はHTTPSのときだけになりますので、 セッション情報等を設定するクッキーにはsecure設定をするようにしましょう。
蛇足ですが、ローカル開発環境でこの設定をtrueにしていたのを忘れて、HTTPでアクセスし、 Cacheからデータが取得できずに困ったことがあったので、注意しましょう。