我们有一个通过 SSL nginx 代理服务 HTTP 的 tomcat 实例。我们对连接器进行了如下设置:
connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"
JSESSIONID cookie 是在 HttpOnly 和 SSL 上创建的。我们只想将其限制为 SSL,而且我们似乎无法弄清楚 Java 中创建 session cookie 背后的逻辑。任何提示将不胜感激。
最佳答案
HttpOnly cookie attribute有点误导:它的真正意思是“不要让客户端脚本读取这个 cookie”。它不是与 Secure 属性相反,实际上,为敏感 cookie 设置这两个属性是非常好的做法,您希望这些 cookie 只能由服务器通过 HTTPS 读取。
关于java - 为 HttpOnly 和 Secure 设置了 JSESSIONID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14040504/