我只想让我的 cookie 安全且只请求 http 请求。
我看过很多类似 this 的帖子并且似乎工作正常,但使用配置文件和 servlet +3。
我基本上想做的是只设置我的cookie http 和(如果可能的话)ssl。
到目前为止,我已将此添加到我的 web.xml 中
<session-config>
<session-timeout>60</session-timeout>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
不做任何事情,据我阅读,我还必须配置我的 servlet.xml 以启用此功能,但我不知道如何......
知道怎么做吗?
编辑:
由于我使用的是 servlets 2.5,xml 配置不是一个选项,也许是一个过滤器?
最佳答案
我讨厌 XML 配置,所以我花了一些时间寻找非 XML 解决方案。
从 Spring Security 1.3 开始你可以使用
server.session.cookie.http-only=true
server.session.cookie.secure=true
在您的 application.properties 文件中。
也许有一种方法可以使用纯 Java 配置进行设置,但我找不到它们。
关于java - Cookie http 仅适用于 spring security 和 servlet 2.5?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35421596/