我的Apache Tomcat在通过mod_jk连接的Apache httpd Web服务器后面运行。
当浏览器请求https页面(而不是http)作为其第一个会话请求时,Tomcat会发送一个带有安全标志的会话cookie,这会使用户登录的会话在以后的http页面中不可用。
如何删除会话Cookie'使用mod_header安全标志?
我已经尝试在web.xml中添加一个选项,如下所示。
<session-config>
<cookie-config>
<secure>false</secure>
</cookie-config>
</session-config>
但是,它不起作用。我想这个选项不会使servlet请求不安全,并且Tomcat会在会话cookie上放置安全标志,除非上下文的会话配置和servlet请求都不安全。
答案 0 :(得分:3)
以下是我自己添加到httpd-vhost.conf的解决方案:
Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"