在web.xml中,您可以通过以下方式确保会话cookie(JSESSIONID)被设置为仅SSL的cookie:
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
有没有办法在创建会话时以编程方式实现相同的功能?
答案 0 :(得分:5)
我找到了答案。这是为了其他人的利益:
public void contextInitialized(ServletContextEvent servletContextEvent) {
ServletContext servletContext = servletContextEvent.getServletContext();
SessionCookieConfig scc = servletContext.getSessionCookieConfig();
scc.setSecure(true);
}
显然,代码应该添加到应用程序的上下文侦听器中。