如何使用mod_header删除会话cookie的安全标志？

我的Apache Tomcat运行在通过mod_jk连接的Apache httpd web服务器后面。如何使用mod_header删除会话cookie的安全标志？

当浏览器请求https页面（而不是http）作为其第一个会话请求时，Tomcat会发送带有安全标志的会话cookie，从而使用户的登录会话稍后可用于http页面。

我已经尝试在web.xml中添加一个选项，如下所示。

<session-config> 
<cookie-config> 
    <secure>false</secure> 
</cookie-config> 
</session-config>

但是，它不起作用。我猜这个选项不会使servlet请求不安全，并且Tomcat会在会话cookie上放置安全标志，除非上下文的会话配置和servlet请求都不安全。

2015-04-02 hotohoto

这是我自己的解决方案添加到httpd-vhost.conf现在：

Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"

2015-04-07 04:19:07 hotohoto

回答