如何将不安全的cookie转换为安全的cookie

Question

我有以下情况：如果我使用HTTP访问我的web应用程序，tomcat将创建一个安全的JSESSIONID cookie - 这是正常的，所以迄今为止没有错。

如果我访问http，那么tomcat会创建一个不安全的JSESSIONID cookie，这也是正常的。

我的问题是，当我使用HTTP访问我的web应用程序时，创建了cookie，之后Spring Security（security：intercept-url pattern =“/ login.action”requires-channel =“https”/>）发送给我一个HTTPs连接。问题在于cookie仍然不安全。

你知道有什么方法可以解决吗？有什么方法可以使用Spring Security重新创建cookie？

任何帮助将不胜感激！

问候， user1532449

Answer 1

保护Tomcat中的会话cookie与中HTTPOnly和安全=真

https://geekflare.com/secure-cookie-flag-in-tomcat/