那些遇到过的问题

为HttpOnly和Secure设置了JSESSIONID

Eli*_*lie 3 java security jsessionid session-cookies

我们有一个tomcat实例通过SSL nginx代理服务HTTP.我们按如下方式设置连接器的设置:

connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"           
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"
Run Code Online (Sandbox Code Playgroud)

在HttpOnly和SSL上都创建了JSESSIONID cookie.我们希望仅将其限制为SSL,我们似乎无法弄清楚Java中会话cookie创建背后的逻辑.任何提示都将非常感激.

Google Chrome Inspector屏幕截图

Ilm*_*nen 7

仅Http cookie的属性是有点误导命名为:它真正的意思是"不要让这个cookie是由客户端脚本可读".它是不是安全属性的对面,确实这是非常好的做法,就能为您希望只由服务器通过HTTPS可读敏感饼干两个属性.

归档时间:

查看次数:

2731 次

最近记录:

12 年,11 月 前
相关归档
为什么if(variable1%variable2 == 0)效率低下? 177
如何使用Jackson反序列化JS日期? 67
检查对象是否属于Java中的类 63
实施和测试iOS数据保护 25
在桌面客户端 - 服务器应用程序中集成facebook登录 7
ServiceStack会话ID是否足够安全? 6
如何避免rails中的BREACH攻击? 6
为什么 ASCII 字符集存在 URL 编码 6
验证本地用户脱离网络 5
检测和控制未经授权的共享内存读取 4
难疑归档
C++中的" - >"运算符是什么? 8590
如何重定向到其他网页? 7725
什么是JSONP,为什么创建它? 2040
如何在Python中删除尾部换行符? 1593
如何在Python中通过索引从列表中删除元素? 1381
match_parent和fill_parent有什么区别? 1371
静态只读与const 1349
获取实例的类名? 1303
确定数组是否包含值 1300
返回IEnumerable <T>与IQueryable <T> 1051