3

我们有一个通过 SSL nginx 代理服务 HTTP 的 tomcat 实例。我们为连接器设置了如下设置:

connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"           
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"

JSESSIONID cookie 是在 HttpOnly 和 SSL 上创建的。我们只想将其限制为 SSL,我们似乎无法弄清楚 Java 中会话 cookie 创建背后的逻辑。任何提示将不胜感激。

谷歌浏览器检查器截图

4

1 回答 1

7

HttpOnly cookie 属性的命名有点误导:它的真正含义是“不要让客户端脚本读取此 cookie”。它不是Secure 属性的对立面,确实,为敏感 cookie 设置这两个属性是非常好的做法,您希望服务器只能通过 HTTPS 读取这些 cookie。

于 2012-12-26T12:56:23.050 回答