阅读Jeff关于Protecting Your Cookies: HttpOnly的博客文章后。我想在我的Web应用程序中实现HttpOnly cookie。
您如何告诉tomcat在 session 中仅使用http cookie?
最佳答案
从Tomcat 6.0.19和Tomcat 5.5.28开始支持httpOnly。
有关错误44382,请参见changelog条目。
错误44382的最后一条评论指出:“此错误已应用于5.5.x,并将包含在5.5.28及更高版本中。”但是,似乎没有发布5.5.28。
可以在 conf/context.xml 中为所有Web应用程序启用httpOnly功能:
<Context useHttpOnly="true">
...
</Context>
我的解释是,通过将其设置在 conf/server.xml 中所需的上下文条目上,它也适用于单个上下文(与上述相同)。