我有一个Apache 2.4和Tomcat 9安装程序。我需要在JSESSIONID cookie上设置SameSite属性。
使用Fiddler,我登录时可以看到cookie设置如下;
Set-Cookie: JSESSIONID=XXXXXXXXXXX; Path=/prod1; Secure; HttpOnly
我还想使用Apache在cookie上设置SameSite属性。我在vhost conf中有以下内容,但这似乎不起作用。
Header always edit* Set-Cookie "^(JSESSIONID.*)$" $1;SameSite=Lax
我知道Header指令可以正常工作,因为我在此行的上方设置了其他属性(不在cookie上)。 但是,这似乎不起作用。我尝试了一些变体,但似乎无法正常工作。
有什么建议吗?
答案 0 :(得分:0)
通过一些矿石的反复试验,我发现删除always条件是可行的,并且JSESIONID cookie具有SameSite属性。
查看Apache mod_headers文档,原因尚不清楚。该文档说
相对于现有标头而言,总是不是成功的超集
但是,没有提供太多细节。 参考:Apache Module mod_headers