grails - 在 Jetty 7 中使 JSESSIONID cookie 成为 httpOnly

Question

我们正在运行 grails 2.0 + jetty 7.6.6，需要将 JSESSIONID cookie 设置为 httpOnly。stackoverflow 上的所有答案似乎都指向 Servlet 3.0（需要码头 8）或 tomcat。任何人都可以为我提供一个明确的方法，将 JSESSIONID cookie 设置为 httpOnly for jetty 7.x？

我尝试添加包含以下内容的 jetty-web.xml 文件，但它仍然不起作用（即 JSESSIONID 未标记为 httpOnly）：

<?xml version="1.0"  encoding="ISO-8859-1"?>
<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">

<Configure class="org.eclipse.jetty.webapp.WebAppContext">
    <Get name="sessionHandler">
        <Get name="sessionManager">
            <Set name="httpOnly" type="boolean">true</Set>
        </Get>
    </Get>
</Configure>

score 4 · Accepted Answer

我所要做的就是将 jetty-web.xml 放在正确的文件夹中。最初我是放在jetty/etc文件夹中，但它应该放在WEB-INF目录中。

grails - 在 Jetty 7 中使 JSESSIONID cookie 成为 httpOnly

1 回答 1

Related

Reference