我有以下场景:如果我使用HTTP访问我的Web应用程序,tomcat会创建一个安全的JSESSIONID cookie - 这是正常的,所以到目前为止没有任何错误。
如果我访问http,那么tomcat会创建一个非安全的JSESSIONID cookie,这也是正常的。
我的问题是,当我使用HTTP访问我的Web应用程序时,cookie就会在Spring Security之后创建(安全性:intercept-url pattern =“/ login.action”requires-channel =“https”/>)发送给我一个HTTPs连接。问题是cookie仍然是不安全的。
你知道有什么方法可以解决这个问题吗?有没有办法使用Spring Security重新创建cookie?
任何帮助将不胜感激!
此致 user1532449
答案 0 :(得分:0)
使用httpOnly和secure = true
保护Tomcat中的会话cookie