jetty - Jetty Maven 插件 8.0.0.M3 是否支持所有 Servlet 3?

标签 jetty maven-jetty-plugin servlet-3.0

我的 web.xml 中有以下内容:

<session-config>
  <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
  </cookie-config>
  <session-timeout>15</session-timeout>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

但是,根据 OWASP 的 Zed 攻击代理 (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project),Spring Security 仍在设置 cookie,而没有 httpOnly 或安全标志。

如果我在 Tomcat 7 中部署相同的应用程序,它似乎会遵循 web.xml 中的这些设置。

最佳答案

解决方案:将元素按正确的顺序排列:

<session-config>
    <session-timeout>15</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

关于jetty - Jetty Maven 插件 8.0.0.M3 是否支持所有 Servlet 3?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6287948/

上一篇:asp.net-mvc - 客户端验证随机不起作用

下一篇:swing - 重定向 Swing 鼠标事件

相关文章:

multithreading - 为什么play(netty3)上传使用单线程?

security - 是否可以将 Solr 与 SSL 和 CA 签名证书一起使用

maven-3 - java.lang.ClassNotFoundException : org. apache.jasper.runtime.JspApplicationContextImpl | jetty :运行

java - 将 map 或对象从 jsp 传递到 servlet

java - 如何使用不同的javax.servlet-api?

java - 严重: PWC6117: File not found - Jetty

ssl - 在 Jetty 中使用 Lets-Encrypt SSL 证书

spring - Maven Jetty 运行 JNDI 配置

java - 如何仅使用注释(无 web.xml)设置 JAX-RS 应用程序?

©2024 IT工具网  联系我们