web-dev-qa-db-ja.com

Tomcatにhttp経由で安全なJSESSIONID Cookieを使用させる

Tomcat 7を設定して、あらゆる場合にセキュアフラグ付きのJSESSIONID Cookieを作成する方法はありますか?

通常の設定では、httpsを介して接続が行われた場合にのみ、TomcatはセキュアフラグでセッションCookieにフラグを立てます。ただし、私の実稼働シナリオでは、Tomcatはhttps接続を処理(および終了)し、http経由でTomcatに接続するリバースプロキシ/ロードバランサーの背後にあります。

プレーンHTTPを介して接続が行われている場合でも、Tomcatを使用してセッションCookieにセキュアフラグを強制的に設定できますか?

javasecuritytomcatsession-cookies
25
Kresimir Nesek

最終的に、私の最初のテストとは異なり、web.xmlソリューションはTomcat 7で機能しました。

例えば。このスニペットをweb.xmlに追加し、リバースプロキシがプレーンHTTP経由でTomcatに接続する場合でも、セッションCookieをセキュアとしてマークします。

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>
35
Kresimir Nesek

ServletContext.getSessionCookieConfig()。setSecure(true)

8
Mark Thomas