有没有办法配置 Tomcat 7 以在所有情况下创建带有安全标志的 JSESSIONID cookie?
仅当通过 https 建立连接时,通常的配置会导致 Tomcat 使用安全标志标记 session cookie。但是在我的生产场景中,Tomcat 位于一个反向代理/负载平衡器后面,它处理(和终止)https 连接并通过 http 联系 tomcat。
我能否以某种方式强制使用 Tomcat 的 session cookie 上的安全标志,即使连接是通过纯 http 进行的?
最佳答案
最后,与我最初的测试相反,web.xml 解决方案在 Tomcat 7 上为我工作。
例如我将此片段添加到 web.xml 中,即使反向代理通过纯 HTTP 联系 tomcat,它也会将 session cookie 标记为安全。
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
关于java - 强制 Tomcat 通过 http 使用安全的 JSESSIONID cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14989396/