Java Spring 4 cookie安全属性

Question

目前有java spring应用程序在开发中，我正在努力在发布之前确保它的安全。目前，cookie不包含"secure“属性，这是一个安全风险。在spring的其他版本中，我会将此代码放在web.xml中

<session-config>
    <cookie-config>
        <http-only>true</http-only>
    </cookie-config>
</session-config>

<session-config>
    <cookie-config>
        <secure>true</secure>
    </cookie-config>
</session-config>

有人能帮我把它翻译成java spring版本4吗？cookie-config似乎对此版本无效。

Answer 1

您上面提到的配置属于servlet 3.0规范。如果您的应用程序使用的是spring session而不是servelet容器session，那么上述参数不会产生任何影响。

Answer 2

您可以在web.xml配置文件中设置安全cookie，而不是在tomcat中设置。

在这里我附加了一个如何在tomcat conf文件中设置安全cookie的链接。https://geekflare.com/secure-cookie-flag-in-tomcat/