JSESSIONID为HttpOnly和安全设置

Question

我们有一个通过SSL nginx代理服务HTTP的tomcat实例。

connectionTimeout="20000" 
redirectPort="8443" 
compression="on" 
compressionMinSize="2048" 
scheme="https" 
secure="true" 
proxyPort="443"   
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json" 

的JSESSIONID cookie将两个仅Http和SSL创建：我们如下设置了连接器的设置。我们只想将其限制为SSL，而我们似乎无法弄清Java中创建会话cookie的逻辑。任何提示将非常感激。

Answer 1

的HttpOnly cookie attribute是有点误导命名为：它真正的意思是“不要让这个cookie是由客户端脚本可读”。它是而不是与Secure属性相反，事实上，为敏感cookie设置两个属性是非常好的做法，您希望服务器只能通过HTTPS读取这两个属性。