sessionid是以cookie的形式储存和传送的,这样JavaScript就能随意获取和修改它,给系统带来安全隐患,Cookie有一个HTTP-only属性,设置该属性后客户端脚本就不能读取该Cookie了。以下是给Tomcat的sessionid设置HTTP-only的方法:
tomcat支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:
<Context useHttpOnly="true">
在 Tomcat 7 服务器上运行的 Web 应用程序。默认情况下,带有会话 id 的 cookie 具有标志 HttpOnly 和 Secure。我想为JSESSIONID cookie 禁用这个标志。但它不会工作。我已经在我的web.xml 文件中更改了它,但它不起作用。
<session-config> <session-timeout>20160</session-timeout> <cookie-config> <http-only>false</http-only> <secure>false</secure> </cookie-config> </session-config>