httponly cookie web 3.0导致意外超时

Question

就在最近，我从web2.4迁移到了web3.0。这次迁移的一个要求是，我需要在我的应用程序中引入“httponly”cookie。因此，我将以下会话配置元素添加到我的web.xml中

<session-config>
<session-timeout>240</session-timeout>
<cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>

将上述会话配置添加到我的web.xml中会导致意外超时。我可以登录到我的应用程序，但之后当我点击其他任何东西时，我会被一条消息踢出去，上面写着‘会话过期’。我做错什么了吗？任何帮助都将不胜感激

Answer 1

<secure>true</secure>意味着你的浏览器将只通过超文本传输协议而不是超文本传输协议将cookie发送回服务器，所以如果你通过超文本传输协议访问网站，那么在登录后不会发送任何cookie。

Answer 2

我同意Desislav的观点。我在HTTP上遇到了这个问题，当我删除true时，它起作用了。因此，HTTP和HTTPS的正确配置如下：

HTTP:-

<session-config>
<cookie-config>
    <http-only>true</http-only>
</cookie-config>
</session-config>

HTTPS：

<session-config>
<cookie-config>
    <http-only>true</http-only>
     <secure>true</secure>
</cookie-config>

​