Установите флаг безопасности в файл cookie идентификатора JSESSION

Question

Установите флаг безопасности в файл cookie идентификатора JSESSION

Я хочу установить "безопасный" флаг в файл cookie JSESSIONID. Есть ли в Tomcat 6 конфигурация для этого?

Я попытался, установив 'secure="true" в элементе "Connector" (8080) файла server.xml, но это создает проблемы... вот и получается, что соединение сбрасывается.

Обратите внимание, что в моем приложении JSESSIONID создается в режиме "http" (страница индекса), когда пользователь входит в систему, он переключается в режим "https".

2

tomcat6 jsessionid

Источник

user478395 27 сен '11 в 08:35

2 ответа

Другие вопросы по тегам tomcat6 jsessionid

user1242601 13 авг '12 в 11:41 2012-08-13 11:41 · Answer 1 · 2012-08-13 11:41

Если вы используете Tomcat 6, вы можете сделать следующее решение

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");

см. https://www.owasp.org/index.php/HttpOnly для получения дополнительной информации

3

Источник

user1242601 13 авг '12 в 11:41

user2205914 26 сен '17 в 01:42 2017-09-26 01:42 · Answer 2 · 2017-09-26 01:42

Используйте атрибут useHttpOnly="true". В Tomcat9 значением по умолчанию является true.

0

Источник

user2205914 26 сен '17 в 01:42

user548473 20 июл '20 в 22:20 2020-07-20 22:20 · Answer 3 · 2020-07-20 22:20

Для прокси nginx это можно легко решить в конфигурации nginx:

if ($scheme = http) {
    return 301 https://$http_host$request_uri;
}

proxy_cookie_path / "/; secure";

0

Источник

user548473 20 июл '20 в 22:20