Spring Security 如何在Tomcat6中将会话cookie标记为安全(仅限https)

5gfr0r5j 于 2023-08-05 发布在 Spring

关注(0)|答案(1)|浏览(94)

我在谷歌上搜索了很多，但找不到答案。我尝试在war中的web.xml文件中设置以下内容，没有任何影响：

<session-config>
    <session-timeout>60</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

字符串
在tomcatcontext.xml文件中添加useHttpOnly可以将cookie限制为仅限于http，但我仍然需要使它们安全。

spring-security

来源：https://stackoverflow.com/questions/11767526/how-to-flag-session-cookie-as-secure-https-only-in-tomcat-6

1条答案

按热度按时间

hfwmuf9z1#

你什么都不用做只要启动会话的请求是https，Tomcat就会将会话cookie标记为secure。
我也看了看是否有任何正式记录这一事实，但我找不到它。但这至少是Tomcat 6.0.32及更高版本的行为。
下面是来自org/apache/catalina/connector/Request.java的代码，在方法的最后，检查请求是否安全，如果是，则在cookie上设置secure标志：

/**
 * Configures the given JSESSIONID cookie.
 *
 * @param cookie The JSESSIONID cookie to be configured
 */
protected void configureSessionCookie(Cookie cookie) {
    cookie.setMaxAge(-1);

    Context ctxt = getContext();

    String contextPath = null;
    if (ctxt != null && !getConnector().getEmptySessionPath()) {
        if (ctxt.getSessionCookiePath() != null) {
            contextPath = ctxt.getSessionCookiePath();
        } else {
            contextPath = ctxt.getEncodedPath();
        }
    }
    if ((contextPath != null) && (contextPath.length() > 0)) {
        cookie.setPath(contextPath);
    } else {
        cookie.setPath("/");
    }

    if (ctxt != null && ctxt.getSessionCookieDomain() != null) {
        cookie.setDomain(ctxt.getSessionCookieDomain());
    }

    if (isSecure()) {
        cookie.setSecure(true);
    }
}

字符串
更新：您可以手动尝试通过使用过滤器等自行设置此。您可以检查从set 'secure' flag到JSESSION id cookie的示例

赞(0）回复(0）举报 2023-08-05

我来回答

Spring Security 如何在Tomcat6中将会话cookie标记为安全(仅限https)

1条答案

相关问题

热门标签

最新问答