1

我有一个 Apache 2.4 和 Tomcat 9 设置。我需要在 JSESSIONID cookie 上设置 SameSite 属性。

使用Fiddler,我可以看到登录时cookies设置如下;

Set-Cookie: JSESSIONID=XXXXXXXXXXX; Path=/prod1; Secure; HttpOnly

我还想使用 Apache 在 cookie 上设置 SameSite 属性。我在 vhost conf 中有以下内容,但这似乎不起作用。

Header always edit* Set-Cookie "^(JSESSIONID.*)$" $1;SameSite=Lax

我知道 Header 指令有效,因为我在此行上方设置了其他属性(不是在 cookie 上)。但是,这似乎不起作用。我尝试了一些变体,但似乎无法使其正常工作。

有什么建议么?

4

1 回答 1

2

通过更多的试验和错误,我发现删除 always 条件是可行的,并且 JSESIONID cookie 具有 SameSite 属性。

查看 Apache mod_headers 文档,原因尚不清楚。文件说

始终不是关于现有标头的 onsuccess 的超集

但是,并没有提供太多细节。参考:Apache 模块 mod_headers

于 2019-01-02T14:04:33.110 回答