我们的Web应用程序在Tomcat 7版本上运行。之前,它的cookie没有安全标签,因此我修改了server.xml以在连接器下包含secure =“ true”,还修改了web.xml使其在cookie下包含cookie-config。 session-config包含安全和httponly标签。
更改之后,当我打开登录页面时看到安全标签即将到来,但是当我登录该站点时,安全标签又消失了(我使用chrome-> cookie部分对此进行了验证),可以看到登录前后会话ID正在更改。
在登录后也应如何确保cookie的安全?
感谢您的帮助!