Java HttpOnly和Secure都设置了JSESSIONID_Java_Security_Session Cookies_Jsessionid

Java HttpOnly和Secure都设置了JSESSIONID

java security

Java HttpOnly和Secure都设置了JSESSIONID,java,security,session-cookies,jsessionid,Java,Security,Session Cookies,Jsessionid,我们有一个tomcat实例通过sslnginx代理为HTTP提供服务。我们已按如下方式设置连接器的设置： connectionTimeout="20000" redirectPort="8443" compression="on" compressionMinSize="2048" scheme="https" secure="true" proxyPort="443" compressableMimeType="text/html,text/xml,text/plain,

我们有一个tomcat实例通过sslnginx代理为HTTP提供服务。我们已按如下方式设置连接器的设置：

connectionTimeout="20000"
redirectPort="8443"
compression="on"
compressionMinSize="2048"
scheme="https"
secure="true"
proxyPort="443"           
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javscript,application/javascript,application/json"

JSESSIONID cookie是在HttpOnly和SSL上创建的。我们只想将其限制在SSL上，而我们似乎无法理解Java中会话cookie创建背后的逻辑。任何暗示都将不胜感激

这个名字有点误导人：它真正的意思是“不要让客户端脚本读取这个cookie”。这与安全属性并不是相反的，事实上，为敏感cookie设置两个属性是非常好的做法，您希望这些敏感cookie只能由服务器通过HTTPS读取。

主题之外，但在compressableMimeType中，“text/javscript”应该是“text/javascript”，谢谢您的帮助。