java - 强制 Tomcat 通过 http 使用安全的 JSESSIONID cookie

标签 java security tomcat session-cookies

有没有办法配置 Tomcat 7 以在所有情况下创建带有安全标志的 JSESSIONID cookie?

仅当通过 https 建立连接时,通常的配置会导致 Tomcat 使用安全标志标记 session cookie。但是在我的生产场景中,Tomcat 位于一个反向代理/负载平衡器后面,它处理(和终止)https 连接并通过 http 联系 tomcat。

我能否以某种方式强制使用 Tomcat 的 session cookie 上的安全标志,即使连接是通过纯 http 进行的?

最佳答案

最后,与我最初的测试相反,web.xml 解决方案在 Tomcat 7 上为我工作。

例如我将此片段添加到 web.xml 中,即使反向代理通过纯 HTTP 联系 tomcat,它也会将 session cookie 标记为安全。

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

关于java - 强制 Tomcat 通过 http 使用安全的 JSESSIONID cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14989396/

上一篇:java - 未设置引导类路径

下一篇:java - 为什么我使用 OpenSSL 和 Java 生成的 RSA-SHA256 签名不同?

相关文章:

java - Jersey:执行前和执行后 Hook ?

java - Java接口(interface)要求

asp.net - 使用代码动态加载 SSL

security - 到底如何在 ASP Classic 中配置 httpOnly Cookie?

java - 如何访问tomcat管理器用户界面?

java - 安卓数据存储

java - 在控制台窗口中隐藏密码输入

android - 使用自定义 CA 时 API 17 (JELLY_BEAN) 中的 SSLHandshakeException

linux - 亚马逊 AMI tomcat7 tomcat-users.xml : command not found

tomcat - 从 Jenkins 1.3.x 更新到 Jenkins 1.44 后,找不到工作了

©2024 IT工具网  联系我们