JSESSIONID同时为HttpOnly和Secure设置
我们有一个通过SSL nginx代理为HTTP提供服务的tomcat实例。我们为连接器设置了如下设置:
connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"
JSESSIONID cookie是在HttpOnly和SSL上创建的。我们只想将它限制在SSL,我们似乎无法理解Java中创建会话cookie背后的逻辑。任何提示都将不胜感激。
共有1个答案
HttpOnly cookie属性的命名有点误导性:它的真正含义是“不要让这个cookie被客户端脚本读取”。它并不是安全属性的对立面,实际上,为敏感cookie设置这两个属性是非常好的做法,因为您希望服务器只能通过HTTPS读取敏感cookie。
-
问题内容: 我正在研究XSS(跨站点脚本)问题。我的应用程序在Oracle Weblogic门户上运行。我们使用Servlet 2.5版。 我在过滤器中添加了以下3行代码,用于设置httponly和安全cookie,它工作正常。 问题是当我注销并立即在同一浏览器中登录时。我可以登录,但是在此之后,在jsp页面上我遇到了会话超时问题。我们使用与weblogic相关的API。该API将返回空..估计是
-
在VBA中,我希望从响应中截取字符串,并在随后的请求中设置它。 (如果Excel崩溃,这个cookie似乎丢失了,用户必须再次进行身份验证。我希望为用户设置最后存储的会话ID,这样如果会话在服务器上仍然有效,他们就不必在Excel客户机中重新进行身份验证。) 我看到了一些在线资源,根据这些资源,下面将拉出JSESSIONID cookie,但最后一行总是打印为空: 当我打印时,我看不到任何包含JS
-
我正在使用firebase和会话cookies来验证react网站上的用户。后端正在使用谷歌云功能。当我在localhost上登录我的网站时,一切都很正常;我的react应用程序运行在上,我的云功能运行在上。我的初始化代码如下所示: 登录代码如下所示: 问题似乎是跨域的,因为我的网站托管在另一个域,而不是谷歌云功能,我不能设置cookie无论我尝试什么。我尝试过uuse axios和fetch来执
-
本文向大家介绍Secure Shell 安装或设置,包括了Secure Shell 安装或设置的使用技巧和注意事项,需要的朋友参考一下 示例 SSH协议实现的免费版本,OpenSSH在所有Linux发行版中均可用。它由服务器和客户端程序包组成。 安装 在基于Debian的Linux上,您可以openssh使用 在RHEL / CentOS上,您需要使用yum: 当前的Fedora正在使用dnf而不