有没有一种方法可以配置Tomcat 7在所有情况下创建带有安全标志的JSESSIONID cookie?
仅当通过https建立连接时,常规配置才会导致Tomcat使用安全标志标记会话cookie。但是在我的生产场景中,Tomcat位于反向代理/负载均衡器的后面,该代理处理/终止负载均衡器的https连接并通过http与tomcat联系。
即使通过简单的http建立连接,我能否以某种方式在与Tomcat的会话cookie上强制使用安全标志?
最后,与最初的测试相反,web.xml解决方案在Tomcat 7上为我工作。
例如,我将此代码段添加到了web.xml中,即使反向代理通过纯HTTP与tomcat联系,它也将会话cookie标记为安全。
<session-config> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> </session-config>
