【发布时间】:2016-04-29 19:25:48
【问题描述】:
我们想通过 SSL 发送 cookie cookie。我们使用 Apache tomcat 作为服务器,我们使用的技术是 Spring boot,angulerJS 应用程序是使用 Jhipster 开发的。
下面是我们的应用配置
tomcat 8 context.xml
<Context useHttpOnly="true">
服务器.xml
<Connector port="443" protocol="HTTP/1.1"
maxThreads="200" keystoreType="jks" scheme="https" Server=" " Secure="true"
SSLEnabled="true" keystoreFile="/home/Keystore/keystore.jks"
keystorePass="keypass" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA" useServerCipherSuitesOrder="true"/>
但在响应标头中,我们正在关注。
请帮我看看我的配置有什么问题
【问题讨论】:
-
useHttpOnly仅适用于会话 cookie,不适用于其他 cookie。因此,您的配置没有任何问题,它可以正常工作,您的理解是/是错误的。 -
谢谢@M。 Deinum 为您的回复,是否有任何其他 cookie 的配置以通过 SSL 发送它们
-
假设您使用的是最新的 Spring Security 版本以获得 CSFR 支持,请进行相应的配置。然而,默认情况下它不会将 csfr 令牌作为 cookie 公开,因此您可能实现了自己的过滤器来这样做......(或者 JHipster 有一个,为
httpOnlycookie 修改/配置它)。
标签: ssl cookies spring-boot tomcat8 jhipster