将“安全"标志设置为 JSESSION id cookie [英] set 'secure' flag to JSESSION id cookie

问题描述

我想将 'secure' 标志设置为 JSESSIONID cookie .tomcat 6 中是否有针对此的配置?

I want to set 'secure' flag to JSESSIONID cookie . Is there a configuration in tomcat 6 for this ?

我尝试在 server.xml 的 'Connector' (8080) 元素中设置 'secure="true"'，但它产生了问题......那是连接正在重置.

I tried by setting 'secure="true"' in 'Connector' (8080) element of server.xml , but it creates problems ....thats Connection is getting reset .

请注意，在我的应用程序中，JSESSIONID 是在http"模式(索引页)下创建的，当用户登录时，它将切换到https"模式.

Note that in my application , the JSESSIONID is getting created in 'http' mode ( index page ) , when the user logins , it will switch into 'https' mode.

推荐答案

如果您使用的是 tomcat 6，您可以执行以下解决方法

If you are using tomcat 6 you can do the following workaround

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");

参见https://www.owasp.org/index.php/HttpOnly了解更多信息

这篇关于将“安全"标志设置为 JSESSION id cookie的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！