4

所以我有一个 java webapp,它使用带有 apache 代理层的 tomcat。我希望从应用程序中设置的所有 cookie 都具有 httpOnly 标志。这个问题是tomcat负责从应用程序端设置标志,它的默认值(在servlet api 2.5中)是false。我希望我可以使用 apache 为所有 cookie 设置这个标志。

我一直在尝试不同的组合,我得到的最接近的是设置传递给 httpOnly 的最后一个 cookie,这当然是错误的:

Header append Set-Cookie "; HttpOnly"

我无法知道将从应用程序传递哪些 cookie/值。这甚至可能吗?

4

2 回答 2

8

以下 mod_headers 重写的好处是,如果它已经存在,它不会重复HttpOnly,如果这种事情对你很重要:

  Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"

看:

于 2012-07-25T23:30:10.490 回答
3

尝试以下 mod_headers 指令。

Header edit Set-Cookie ^(.*)$ $1;HttpOnly
于 2011-02-15T07:22:55.060 回答