Play2でHTTPS通信時のみCookieを送る

2014.11.13

セッション情報をHTTPSのときだけ使えるようにする

Playではクッキー情報を使用して、セッション(≠HTTPセッション)情報を管理します。
そのため、通常のHTTPで通信したときにはクッキー情報が盗聴される危険があり、
セッション情報の盗聴へつなる可能性があります。
そんなときは、クッキー情報をHTTPSの通信のときだけ送るようにしましょう。

application.confを設定

クッキーをHTTPSのときだけ送るようにするのは簡単です。
下記のように、application.confでsession.secure属性をtrueに設定するだけです。

#conf/application.conf
・
・
session.secure=true
・
・

上記設定を行えばクッキー送信はHTTPSのときだけになりますので、
セッション情報等を設定するクッキーにはsecure設定をするようにしましょう。

蛇足ですが、ローカル開発環境でこの設定をtrueにしていたのを忘れて、HTTPでアクセスし、
Cacheからデータが取得できずに困ったことがあったので、注意しましょう。