java – 为HttpOnly和Secure设置了JSESSIONID
发布时间:2020-12-15 08:48:59 所属栏目:Java 来源:网络整理
导读:我们有一个tomcat实例通过SSL nginx代理服务HTTP.我们按如下方式设置连接器的设置: connectionTimeout="20000"redirectPort="8443"compression="on"compressionMinSize="2048"scheme="https"secure="true"proxyPort="443" compressableMimeType="text/html,
|
我们有一个tomcat实例通过SSL nginx代理服务HTTP.我们按如下方式设置连接器的设置:
connectionTimeout="20000" redirectPort="8443" compression="on" compressionMinSize="2048" scheme="https" secure="true" proxyPort="443" compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json" 在HttpOnly和SSL上都创建了JSESSIONID cookie.我们希望仅将其限制为SSL,我们似乎无法弄清楚Java中会话cookie创建背后的逻辑.任何提示都将非常感激. 解决方法
HttpOnly cookie attribute有点误导性地命名:它的真正含义是“不要让这个cookie被客户端脚本读取”.它与Secure属性不同,实际上,为敏感cookie设置两个属性是非常好的做法,这些属性只能由服务器通过HTTPS读取.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |