Play2でHTTPS通信時のみCookieを送る
セッション情報をHTTPSのときだけ使えるようにする
Playではクッキー情報を使用して、セッション(≠HTTPセッション)情報を管理します。 そのため、通常のHTTPで通信したときにはクッキー情報が盗聴される危険があり、 セッション情報の盗聴へつなる可能性があります。 そんなときは、クッキー情報をHTTPSの通信のときだけ送るようにしましょう。
application.confを設定
クッキーをHTTPSのときだけ送るようにするのは簡単です。 下記のように、application.confでsession.secure属性をtrueに設定するだけです。
#conf/application.conf ・ ・ session.secure=true ・ ・
上記設定を行えばクッキー送信はHTTPSのときだけになりますので、 セッション情報等を設定するクッキーにはsecure設定をするようにしましょう。
蛇足ですが、ローカル開発環境でこの設定をtrueにしていたのを忘れて、HTTPでアクセスし、 Cacheからデータが取得できずに困ったことがあったので、注意しましょう。
