jboss7中是否缺少HTTP only属性设置？

Question

我在JBOSS5和6中使用了以下步骤，但这些步骤不适用于JBOSS 7：

  - change server/CONFIG/deploy/jbossweb.sar/context.xml
  - add <SessionCookie httpOnly="true" secure="true">

因为我找到了jboss7的解决方案，所以在web.xml的会话配置中添加了http-only标签

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

因此，据我所知，这是关于应用层web.xml的配置，那么我们如何为整个JBOSS实例设置cookie保护呢？在JBOSS56中允许全局配置会话cookie是一个好主意，JBOSS7中是否缺少此功能？这个问题可能会在StackOverflow中重复出现。但我无法在这些答案中获得适当的清晰。

Answer 1

不需要将其配置为某些属性配置文件的一部分。此配置现在是servlet规范的一部分，这意味着可以将其配置为web.xml的一部分

      <session-config>
        <cookie-config>
           <http-only>true</http-only>
        </cookie-config>
      </session-config>

只需确保您使用的是3.0xsd版本的web.xml