Как пометить JSESSIONID безопасным в tomcat?

Я хочу пометить файл cookie JSESSIONID, сгенерированный tomcat (версия 8), как безопасный. я использую java 12...

До сих пор я пробовал

  1. в файле tomcat web.xml я добавил
    <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
    </cookie-config>

в разделе конфигурации сеанса

  1. пытался, cookie.setSecure(true) в моем servlet

оба не работают .. есть ли лучшее решение?


java session-cookies cookies jsessionid
person Saravana Jagan    schedule 12.07.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Необходимо поддерживать 2 флага, чтобы избежать перехвата файлов cookie сеанса (HttpOnly, Secure)

Set-Cookie: JSESSIONID=T8zK7hcII6iNgA; Expires=Wed, 21 May 2018 07:28:00 GMT; HttpOnly; Secure

Для Servlet 3.0 конфигурация как

<session-config>
    <cookie-config>
      <http-only>true</http-only>
      <secure>true</secure>
    </cookie-config>
</session-config>
person prashantr    schedule 12.07.2019
comment
‹session-config› ‹cookie-config› ‹http-only›true‹/http-only› ‹secure›true‹/secure› ‹/cookie-config› ‹/session-config› Я уже пробовал это на Tomcat Web .xml... по-прежнему файлы cookie не являются безопасными, не могли бы вы объяснить подробнее об этом -> Set-Cookie: JSESSIONID=T8zK7hcII6iNgA; Истекает=ср, 21 мая 2018 г., 07:28:00 по Гринвичу; Только HTTP; Безопасный - person Saravana Jagan; 12.07.2019
comment
Что заголовок http в деталях - person prashantr; 12.07.2019
comment
Поделитесь своим файлом web.xml, чтобы лучше понять проблему. - person prashantr; 12.07.2019