0
以前はHTTP/HTTPSプロトコルでHttpOnlyを取得していましたが、セキュリティ保護されていません。属性を「セキュア」を追加するためにHTTPプロトコルのセッション識別子のHttpOnly属性がありません
、私は以下のようにserver.xmlファイルのコネクタポートの構文で=「true」を、セキュア追加 -
<Connector address="10.23.17.69" port="8000" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="60000" disableUploadTimeout="true" URIEncoding="UTF-8" server="Dev" secure="true" />
はまたweb.xmlに 『クッキー設定』を追加しました以下のように - 今
<session-config>
<session-timeout>120</session-timeout>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
HTTPSプロトコルのため、私は以下のように、セッションクッキーのための真のフラグを「固定」と「HttpOnlyの」取得しています。
しかし、HTTPプロトコルでは、私はHttpOnly属性を取得していません。 HTTPプロトコルの場合、 "HttpOnly = true"が必要です。
私のcontext.xmlの「コンテキスト」の要素は、すでに以下のようuseHttpOnlyの属性が含まれている、注意してください -
<Context useHttpOnly="true">
....
</Context>
を任意の提案がはるかに高く評価されます。