目前正在开发java spring应用程序,我正在努力在发布之前保护它。目前,cookie不包含“安全”属性,这是一种安全风险。在其他版本的spring中,我会把它放在web.xml中
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
任何人都可以帮我翻译成java spring version 4吗? cookie-config似乎对此版本无效。
答案 0 :(得分:0)
您上面提到的配置属于servlet 3.0规范。如果您的应用程序使用的是spring会话而不是servelet容器会话,则上述参数不会产生任何影响。
答案 1 :(得分:-1)
您可以在tomcat配置文件中设置安全cookie,而不是在web.xml中设置安全cookie。
这里我附上了一个如何在tomcat conf文件中设置安全cookie的链接。 https://geekflare.com/secure-cookie-flag-in-tomcat/