Zac*_*ack 4 java apache tomcat httponly
所以我有一个java webapp,它使用带有apache代理层的tomcat.我希望从应用程序设置的所有cookie都有httpOnly标志.这样做的问题是tomcat负责从应用程序端设置标志,并且它的默认值(在servlet api 2.5中)为false.我希望我可以使用apache动态设置所有cookie的这个标志.
我一直在尝试不同的组合,而我最接近的是设置传递给httpOnly的最后一个cookie,这当然是错误的:
Header append Set-Cookie "; HttpOnly"
我无法知道将从应用程序传递哪些cookie /值.这甚至可能吗?
以下mod_headers重写的好处是,HttpOnly如果它已经存在,它将不会重复,如果这种事情对您很重要:
Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"
看到:
| 归档时间: |
|
| 查看次数: |
9733 次 |
| 最近记录: |