4

我的 Apache Tomcat 在通过 mod_jk 连接的 Apache httpd Web 服务器后面运行。

当浏览器请求 https 页面(而不是 http)作为其第一个会话请求时,Tomcat 会发送一个带有安全标志的会话 cookie,这使得用户登录的会话在以后的 http 页面中不可用。

如何使用 mod_header 删除会话 cookie 的安全标志?

我已经尝试在 web.xml 中添加一个选项,如下所示。

<session-config>
 <cookie-config>
  <secure>false</secure>
 </cookie-config>
</session-config>

但是,它不起作用。我猜这个选项不会使 servlet 请求不安全,并且 Tomcat 会将安全标志放在会话 cookie 上,除非上下文的会话配置和 servlet 请求都不安全。

4

1 回答 1

3

这是我现在添加的自己的解决方案httpd-vhost.conf

Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"
于 2015-04-07T04:19:07.997 回答