1

我有以下情况:如果我使用 HTTPs 访问我的 Web 应用程序,tomcat 会创建一个安全的 JSESSIONID cookie - 这是正常的,所以到目前为止没有任何问题。

如果我访问 http 然后 tomcat 会创建一个不安全的 JSESSIONID cookie,这也是正常的。

我的问题是,当我使用 HTTP 访问我的 Web 应用程序时,会创建 cookie,然后 Spring Security (security:intercept-url pattern="/login.action" requires-channel="https"/>) 将我发送到HTTPS 连接。问题是 cookie 仍然是不安全的。

你知道有什么办法可以解决吗?有没有办法使用 Spring Security 重新创建 cookie?

任何帮助将不胜感激!

问候,用户1532449

4

1 回答 1

0

使用 httpOnly 和 secure=true 保护 Tomcat 中的会话 cookie

https://geekflare.com/secure-cookie-flag-in-tomcat/

于 2013-02-11T20:15:16.900 回答