Servlet API proporciona una manera conveniente de establecer cookies:¿Debo escapar los valores de las cookies cuando configuro desde la API de servlet?
response.addCookie(new Cookie(name, value))
JavaDoc le dice:
con la versión 0 cookies, los valores no deben contener espacios en blanco, corchetes, paréntesis, signos de igualdad, comas, comillas dobles, barras inclinadas, signos de interrogación, en signos, dos puntos y punto y coma. Los valores vacíos no pueden comportarse de la misma manera en todos los navegadores.
Sin embargo, no dice qué sucede si estos caracteres están presentes en el valor.
Si el valor proviene de una fuente que no es de confianza, ¿puedo usar la API para establecer el valor de manera segura sin preprocesamiento adicional o abro la puerta para algún tipo de inyección?
Obtendrá una excepción de objeto ilegal si están presentes – Edd