java - Http पर सुरक्षित JSESSIONID कुकी का उपयोग करने के लिए टोमकैट को मजबूर करना




security tomcat (2)

क्या सभी अवसरों में एक सुरक्षित ध्वज के साथ JSESSIONID कुकी बनाने के लिए टॉमकैट 7 को कॉन्फ़िगर करने का कोई तरीका है?

सामान्य कॉन्फ़िगरेशन परिणाम टॉमकैट फ़्लैगिंग सत्र कुकी में केवल सुरक्षित ध्वज के साथ होते हैं यदि कनेक्शन https के माध्यम से किया जाता है। हालांकि, मेरे उत्पादन परिदृश्य में, टोमकैट एक रिवर्स प्रॉक्सी / लोड बैलेंसर के पीछे है जो https कनेक्शन और http पर संपर्क टोमकैट को संभालता है (और समाप्त करता है)।

क्या मैं किसी भी तरह टॉमकैट के साथ सत्र कुकी पर सुरक्षित ध्वज को मजबूर कर सकता हूं, भले ही कनेक्शन सादे http के माध्यम से किया गया हो?


ServletContext.getSessionCookieConfig ()। SetSecure (सही)


अंत में, मेरे शुरुआती परीक्षणों के विपरीत, वेब.एक्सएमएल समाधान ने मेरे लिए टॉमकैट 7 पर काम किया।

जैसे मैंने इस स्निपेट को web.xml में जोड़ा और यह सत्र कुकी को सुरक्षित के रूप में चिह्नित करता है, भले ही रिवर्स प्रॉक्सी संपर्क सादे HTTP पर tomcat।

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>






session-cookies