堆栈内存溢出
  繁体   English   中英

如何在tomcat中标记JSESSIONID安全?

[英]How to mark JSESSIONID secure in tomcat?

 原文  2019-07-12 06:55:42       java/ cookies/ session-cookies/ jsessionid

问题描述

我想将由tomcat(版本8)生成的JSESSIONID cookie标记为安全。 我正在使用java 12 ...

到目前为止,我已经尝试过

  1. 在tomcat的web.xml文件中,我已经添加了 
    <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
    </cookie-config>

在会话配置部分

  1. 在我的servlet尝试过cookie.setSecure(true)

都不能用..任何更好的解决方案?

1 个解决方案

解决方案1
 0  2019-07-12 07:19:45

应该维护2个标记以避免Session Cookies劫持(HttpOnly,Secure) 

Set-Cookie: JSESSIONID=T8zK7hcII6iNgA; Expires=Wed, 21 May 2018 07:28:00 GMT; HttpOnly; Secure

对于Servlet 3.0,配置如下 

<session-config>
    <cookie-config>
      <http-only>true</http-only>
      <secure>true</secure>
    </cookie-config>
</session-config>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何使用环境变量保护tomcat 7中的jsessionid cookie 如何使用Spring security 2和Apache Tomcat 7设置将JSESSIONID cookie设置为安全 强制Tomcat通过http使用安全的JSESSIONID cookie 如何将 SameSite 和 Secure 属性设置为 JSESSIONID cookie 如何在Tomcat中为JSESSIONID和jvmRoute更改定界符/分隔符? 如何在 Eclipse 中从本地 Tomcat7 的 URL 中删除 jsessionid Tomcat在同一会话中轮换JSESSIONID的频率 为HttpOnly和Secure设置了JSESSIONID 在自定义标头中处理jsessionid(Tomcat 6) 是否可以在 tomcat servlet 中禁用 jsessionid?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM