3

我的 web.xml 中有以下内容:

<session-config>
  <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
  </cookie-config>
  <session-timeout>15</session-timeout>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

然而,根据 OWASP 的 Zed 攻击代理 (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project),cookie 仍然由 Spring Security 设置,没有 httpOnly 或安全标志。

如果我在 Tomcat 7 中部署相同的应用程序,它似乎会遵守 web.xml 中的这些设置。

4

1 回答 1

0

解决方案:将元素按正确的顺序排列:

<session-config>
    <session-timeout>15</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
于 2012-09-06T20:56:05.407 回答