为HttpOnly和Secure设置了JSESSIONID
我们有一个tomcat实例通过SSL nginx代理服务HTTP。我们按如下方式设置连接器的设置:
connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"
在HttpOnly和SSL上都创建了JSESSIONID cookie。我们希望仅将其限制为SSL,我们似乎无法弄清楚Java中会话cookie创建背后的逻辑。任何提示都将非常感激。
1 个答案:
答案 0 :(得分:7)
HttpOnly cookie attribute有点误导性地命名:它的真正含义是“不要让这个cookie被客户端脚本读取”。 不与Secure属性相反,实际上,为您希望服务器只能通过HTTPS读取的敏感cookie设置两个属性是非常好的做法。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?