sessionid是以cookie的形式储存和传送的,这样JavaScript就能随意获取和修改它,给系统带来安全隐患,Cookie有一个HTTP-only属性,设置该属性后客户端脚本就不能读取该Cookie了。以下是给Tomcat的sessionid设置HTTP-only的方法:
tomcat支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context useHttpOnly="true">
在 Tomcat 7 服务器上运行的 Web 应用程序。默认情况下,带有会话 id 的 cookie 具有标志 HttpOnly 和 Secure。我想为JSESSIONID cookie 禁用这个标志。但它不会工作。我已经在我的web.xml 文件中更改了它,但它不起作用。
<session-config> <session-timeout>20160</session-timeout> <cookie-config> <http-only>false</http-only> <secure>false</secure> </cookie-config> </session-config>
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 零经验选手,Compose 一天开发一款小游戏!
· 因为Apifox不支持离线,我果断选择了Apipost!
· 通过 API 将Deepseek响应流式内容输出到前端
2018-06-14 select2 清除选中项解决办法
2018-06-14 mysql: 查看某库表大小
2009-06-14 Asp.Net 无限分类生成表格 <后台自定义输出table>
2006-06-14 人生是为了什么?