所以我有一个 java webapp,它使用带有 apache 代理层的 tomcat。我希望从应用程序中设置的所有 cookie 都具有 httpOnly 标志。这个问题是tomcat负责从应用程序端设置标志,它的默认值(在servlet api 2.5中)是false。我希望我可以使用 apache 为所有 cookie 设置这个标志。
我一直在尝试不同的组合,我得到的最接近的是设置传递给 httpOnly 的最后一个 cookie,这当然是错误的:
Header append Set-Cookie "; HttpOnly"
我无法知道将从应用程序传递哪些 cookie/值。这甚至可能吗?