Как убрать безопасный флаг сессионного куки, используя mod_header?

Question

Как убрать безопасный флаг сессионного куки, используя mod_header?

Мой Apache Tomcat работает за веб-сервером Apache httpd, подключенным через mod_jk.

Когда браузер запрашивает страницу https (а не http) в качестве первого запроса сеанса, Tomcat отправляет файл cookie сеанса с флагом безопасности, что делает входящий в сеанс пользователя недоступным для страниц http позже.

Как я могу удалить безопасный флаг сессионных куки, используя mod_header?

Я уже пытался добавить опцию в web.xml, как показано ниже.

<session-config>
 <cookie-config>
  <secure>false</secure>
 </cookie-config>
</session-config>

Тем не менее, это не работает. Я полагаю, что эта опция не делает запрос сервлета небезопасным, и Tomcat установит флаг безопасности для файлов cookie сеанса, если только контекстная конфигурация сеанса и запрос сервлета не являются безопасными.

4

apache tomcat mod-jk mod-headers

Источник

user1874690 02 апр '15 в 08:02

1 ответ

Решение

Другие вопросы по тегам apache tomcat mod-jk mod-headers

user1874690 07 апр '15 в 04:19 2015-04-07 04:19 · Accepted Answer · 2015-04-07 04:19

Вот мое собственное решение, добавленное к httpd-vhost.conf теперь:

Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"

3

Источник

user1874690 07 апр '15 в 04:19