一尘不染

强制Tomcat通过http使用安全的JSESSIONID cookie

tomcat

有没有一种方法可以配置Tomcat 7在所有情况下创建带有安全标志的JSESSIONID cookie?

仅当通过https建立连接时,常规配置才会导致Tomcat使用安全标志标记会话cookie。但是在我的生产场景中,Tomcat位于反向代理/负载均衡器的后面,该代理处理/终止负载均衡器的https连接并通过http与tomcat联系。

即使通过简单的http建立连接,我能否以某种方式在与Tomcat的会话cookie上强制使用安全标志?


阅读 384

收藏
2020-06-16

共1个答案

一尘不染

最后,与最初的测试相反,web.xml解决方案在Tomcat 7上为我工作。

例如,我将此代码段添加到了web.xml中,即使反向代理通过纯HTTP与tomcat联系,它也将会话cookie标记为安全。

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>
2020-06-16