如何在tomcat中标记JSESSIONID安全?

时间:2019-07-12 06:55:42

标签: java cookies session-cookies jsessionid

我想将由tomcat(版本8)生成的JSESSIONID cookie标记为安全。我正在使用java 12 ...

到目前为止,我已经尝试过

  1. 在tomcat web.xml文件中,我已添加
    <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
    </cookie-config>

在会话配置部分

  1. 在我的cookie.setSecure(true)中尝试servlet

都无法正常工作..有更好的解决方法吗?

1 个答案:

答案 0 :(得分:0)

应维护2个标记,以避免会话cookie劫持(HttpOnly,安全)

Set-Cookie: JSESSIONID=T8zK7hcII6iNgA; Expires=Wed, 21 May 2018 07:28:00 GMT; HttpOnly; Secure

对于Servlet 3.0,配置为

<session-config>
    <cookie-config>
      <http-only>true</http-only>
      <secure>true</secure>
    </cookie-config>
</session-config>