我的 web.xml 中有以下内容:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
<session-timeout>15</session-timeout>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
但是,根据 OWASP 的 Zed 攻击代理 (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project),Spring Security 仍在设置 cookie,而没有 httpOnly 或安全标志。
如果我在 Tomcat 7 中部署相同的应用程序,它似乎会遵循 web.xml 中的这些设置。
最佳答案
解决方案:将元素按正确的顺序排列:
<session-config>
<session-timeout>15</session-timeout>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
关于jetty - Jetty Maven 插件 8.0.0.M3 是否支持所有 Servlet 3?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6287948/