Jetty Maven插件8.0.0.M3是否支持所有Servlet 3?

时间:2011-06-09 04:01:55

标签: jetty maven-jetty-plugin servlet-3.0

我的web.xml中有以下内容:

<session-config>
  <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
  </cookie-config>
  <session-timeout>15</session-timeout>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

然而,根据OWASP的Zed攻击代理(https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project),Spring Security仍然没有使用httpOnly或安全标志设置cookie。

如果我在Tomcat 7中部署相同的应用程序,它似乎会遵循web.xml中的这些设置。

1 个答案:

答案 0 :(得分:0)

解决方案:按正确顺序放置元素:

<session-config>
    <session-timeout>15</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
相关问题
最新问题