4

我对 JBOSS5 和 6 使用了以下步骤,但这些步骤不适用于 JBOSS 7:

  - change server/CONFIG/deploy/jbossweb.sar/context.xml
  - add <SessionCookie httpOnly="true" secure="true">

当我找到 jboss7 的解决方案时,将 http-only 标记添加到 web.xml 中的会话配置

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

所以据我了解,这是关于应用程序级别 web.xml 的配置 那么我们如何为整个 JBOSS 实例设置 cookie 保护呢?允许在 JBOSS56 中全局配置会话 cookie 是个好主意,JBOSS7 中是否缺少此功能?这个问题可能会在 StackOverflow 中重复出现。但我无法在这些答案中获得适当的清晰度。

4

1 回答 1

2

无需将其配置为某些属性配置文件的一部分。此配置现在是 servlet 规范的一部分,这意味着它可以配置为 web.xml 的一部分

      <session-config>
        <cookie-config>
           <http-only>true</http-only>
        </cookie-config>
      </session-config>

只要确保您使用 3.0 xsd 版本的 web.xml

于 2012-12-16T23:31:07.203 回答