强制Tomcat通过http使用安全的JSESSIONID cookie
强制Tomcat通过http使用安全的JSESSIONID cookie
提问于 2013-02-21 04:35:31
有没有办法将Tomcat7配置为在所有情况下都创建带有安全标志的JSESSIONID cookie?
仅当通过https建立连接时,通常的配置才会导致Tomcat使用安全标志标记会话cookie。然而,在我的生产场景中,Tomcat位于一个反向代理/负载均衡器之后,后者处理(并终止) https连接并通过http联系tomcat。
我是否可以通过某种方式在Tomcat的会话cookie上强制使用安全标志,即使是通过纯http建立连接?
回答 2
Stack Overflow用户
回答已采纳
发布于 2013-03-08 18:55:49
最后,与我最初的测试相反,web.xml解决方案在Tomcat7上为我工作。
例如,我将此代码片段添加到web.xml中,它将会话cookie标记为安全,即使反向代理通过普通HTTP联系tomcat也是如此。
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>Stack Overflow用户
发布于 2013-02-21 05:04:50
ServletContext.getSessionCookieConfig().setSecure(true)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/14989396
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号