我做了很多googeling并找不到答案。我已经尝试在战争中的web.xml文件中设置以下内容而没有任何影响:
<session-config>
<session-timeout>60</session-timeout>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
在tomcat context.xml文件中添加useHttpOnly可以将cookie限制为仅限于http,但我仍然需要使它们安全。
答案 0 :(得分:4)
您无需做任何事情。只要启动会话的请求为https,Tomcat就会将会话cookie标记为secure。
我还看了看是否有任何正式记录的事实,但我找不到它。但这至少是Tomcat 6.0.32及更高版本的行为。
以下是来自org/apache/catalina/connector/Request.java的代码,该方法在方法结束时检查请求是否安全,如果是,则在cookie上设置secure标志:
/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
cookie.setMaxAge(-1);
Context ctxt = getContext();
String contextPath = null;
if (ctxt != null && !getConnector().getEmptySessionPath()) {
if (ctxt.getSessionCookiePath() != null) {
contextPath = ctxt.getSessionCookiePath();
} else {
contextPath = ctxt.getEncodedPath();
}
}
if ((contextPath != null) && (contextPath.length() > 0)) {
cookie.setPath(contextPath);
} else {
cookie.setPath("/");
}
if (ctxt != null && ctxt.getSessionCookieDomain() != null) {
cookie.setDomain(ctxt.getSessionCookieDomain());
}
if (isSecure()) {
cookie.setSecure(true);
}
}
更新:您可以手动尝试使用过滤器等自己设置..您可以查看示例 set 'secure' flag to JSESSION id cookie