小编JEE*_*Dev的帖子

Tomcat 7 sessionid cookie禁用http-only和secure

我有一个在Tomcat 7服务器上运行的Web应用程序.具有会话ID的cookie默认具有标志HttpOnly和Secure.我想禁用JSESSIONIDcookie的这个标志.但它不会工作.我在我的web.xml文件中更改了这个,但它无法正常工作.

<session-config>
    <session-timeout>20160</session-timeout>
    <cookie-config>
        <http-only>false</http-only>
        <secure>false</secure>
    </cookie-config>
</session-config>

Run Code Online (Sandbox Code Playgroud)

我知道这是一个安全风险,因为攻击者能够窃取cookie并劫持会话,如果他找到了xss vuln.

该JSESSIONID饼干应与HTTP和HTTPS与AJAX请求被发送.

编辑:

我HttpOnly通过在conf/context.xml文件中添加以下选项成功禁用了该标志:

<Context useHttpOnly="false">
....
</Context>

Run Code Online (Sandbox Code Playgroud)

cookies httponly session-cookies tomcat7 cookie-httponly

JEE*_*Dev

2016 10-15

27
推荐指数

1
解决办法

2万
查看次数

标签统计

cookie-httponly ×1

cookies ×1

httponly ×1

session-cookies ×1

tomcat7 ×1

Tomcat 7 sessionid cookie禁用http-only和secure

标签 统计

小编JEE_Dev的帖子

标签统计