我想将由tomcat(版本8)生成的JSESSIONID
cookie标记为安全。我正在使用java 12
...
到目前为止,我已经尝试过
web.xml
文件中,我已添加 <cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
在会话配置部分
cookie.setSecure(true)
中尝试servlet
都无法正常工作..有更好的解决方法吗?
答案 0 :(得分:0)
应维护2个标记,以避免会话cookie劫持(HttpOnly,安全)
Set-Cookie: JSESSIONID=T8zK7hcII6iNgA; Expires=Wed, 21 May 2018 07:28:00 GMT; HttpOnly; Secure
对于Servlet 3.0,配置为
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>