Kre*_*sek 25 java security tomcat session-cookies
有没有办法在所有场合配置Tomcat 7以创建带有安全标志的JSESSIONID cookie?
只有在通过https建立连接时,通常的配置才会导致Tomcat使用安全标记标记会话cookie.但是在我的生产场景中,Tomcat是一个反向代理/负载均衡器,它处理(并终止)https连接并通过http联系tomcat.
我可以以某种方式强制使用Tomcat在会话cookie上强制安全标志,即使连接是通过普通的http进行的吗?
Kre*_*sek 36
最后,与我的初始测试相反,web.xml解决方案在Tomcat 7上为我工作.
例如,我将此片段添加到web.xml,它将会话cookie标记为安全,即使反向代理通过纯HTTP联系tomcat也是如此.
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
ServletContext.getSessionCookieConfig().setSecure(真)
| 归档时间: |
|
| 查看次数: |
42480 次 |
| 最近记录: |