在阅读了 Jeff 在 Protecting Your Cookies: HttpOnly 上的博文后.我想在我的网络应用程序中实现 HttpOnly cookie。
你如何告诉 tomcat 只为 session 使用 http cookie?
最佳答案
从 Tomcat 6.0.19 和 Tomcat 5.5.28 开始支持 httpOnly。
见 changelog错误 44382 的条目。
错误的最后一条评论 44382声明,“这已应用于 5.5.x,并将包含在 5.5.28 及以后的版本中。”但是,5.5.28 似乎没有发布。
conf/context.xml中的所有webapps都可以启用httpOnly功能:
<Context useHttpOnly="true">
...
</Context>
我的解释是,通过将其设置在 conf/server.xml 中所需的 Context 条目上,它也适用于单个上下文(方法同上)。
关于java - 如何在 tomcat/java webapps 中配置 HttpOnly cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33412/