session.secure=true
を設定する?scala/play/api/http/HttpConfiguration.scala
secure = config.getDeprecated[Boolean]("play.http.session.secure", "session.secure"),
session.secure
はもう古いplay.http.session.secure
を使えsession.secure
AuthConfig.cookieSecureOptionをoverride (default false)
trait AuthConfigImpl extends AuthConfig {
override lazy val cookieSecureOption: Boolean = Config.config.getBoolean("session.secure").getOrElse(true)
}
AuthConfig.cookieSecureOption
もまたdeprecated…play2/auth/AuthConfig.scala
@deprecated("it will be deleted since 0.14.0. use CookieTokenAccessor constructor", since = "0.13.1")
lazy val cookieSecureOption: Boolean = false
AuthConfigImpl.tokenAccessor.cookieSecureOption
を設定するのがイマドキplay.http.flash.secure
を設定
play.http.session.secure
と別設定なのがよくわからないPlay 2.4以降なら 以下を設定しておけば安心
play.http.session.secure=true
play.http.flash.secure=true
アプリケーションのデフォルト設定は安全側に倒れてて欲しいけど、secure cookieのオプションのデフォルトがtrueだとローカル開発がいきなりでなかったりして初心者にやさしくなかったりするのでその辺フレームーワーク作者にとって悩ましそう