如何将会话 cookie 配置为仅 http

【问题标题】：How to configure for session cookie as http-only如何将会话 cookie 配置为仅 http
【发布时间】：2011-10-20 21:23:50
【问题描述】：

设置 http-only 我在 web.xml 中使用了这个

<session-config>
        <cookie-config>
        <http-only>true</http-only>
        </cookie-config>
    </session-config>

但它没有设置 http-only。任何人都可以建议，可能是什么问题。以及如何设置。

谢谢。

【问题讨论】：

【解决方案1】：

您使用的是哪个容器以及哪个版本？请注意，因为 true 只能在 servlet 3.0 之后的 web.xml 中使用

【讨论】：

对 servlet 3.0 的支持（因此您提供的代码 sn-p 在 tomcat 7 中），无论如何，从 6.0.19 开始，您可以在 webapp 的 context.xml 文件中设置 http-only 属性，记录在案这里：tomcat.apache.org/tomcat-6.0-doc/config/context.html 如果您的版本低于 6.0.19，我知道的唯一解决方案是通过过滤器在 HTTP 标头中手动添加 cookie。