Security 如何让jetty在使用安全通道时发送带有安全标志的jsessionid cookies_Security_Tomcat_Cookies_Encryption_Jetty

Security 如何让jetty在使用安全通道时发送带有安全标志的jsessionid cookies

security tomcat cookies encryption jetty

Security 如何让jetty在使用安全通道时发送带有安全标志的jsessionid cookies,security,tomcat,cookies,encryption,jetty,Security,Tomcat,Cookies,Encryption,Jetty,我在生产环境中使用Tomcat，在测试环境中使用jetty（通过jetty maven插件） Tomcat在通过安全通道（https）发送JSSessionID cookie时，在JSSessionID cookie上设置安全标志，这对我来说似乎是个好主意，因为它可以防止用户在登录时暴露会话。但Jetty却不是这样我想强制Jetty表现得像Tomcat一样，并始终在通过安全通道发送的jsessionid cookies上设置安全标志，因为否则，我的测试环境表现出与生产环境相当不同的行为。但我找

我在生产环境中使用Tomcat，在测试环境中使用jetty（通过jetty maven插件）

Tomcat在通过安全通道（https）发送JSSessionID cookie时，在JSSessionID cookie上设置安全标志，这对我来说似乎是个好主意，因为它可以防止用户在登录时暴露会话。但Jetty却不是这样

我想强制Jetty表现得像Tomcat一样，并始终在通过安全通道发送的jsessionid cookies上设置安全标志，因为否则，我的测试环境表现出与生产环境相当不同的行为。但我找不到任何配置选项来实现这一点

我还想知道，这是否是Jetty中的安全漏洞。因为如果用户切换回不安全的通道，不将通过安全通道发送的jsessionid cookie标记为安全会显示安全会话。

设置secureCookies属性所需的配置更改可以添加到jetty-web.xml文件中：

<Get name="sessionHandler">
  <Get name="sessionManager">
    <Set name="secureCookies">true</Set>
  </Get>
</Get>


真的

我添加以下内容只是为了展示对我有效的完整示例

将以下内容放入WEB-INF/jetty-WEB.xml中

<?xml version="1.0"  encoding="ISO-8859-1"?>
<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">

<Configure class="org.eclipse.jetty.webapp.WebAppContext">
    <Get name="sessionHandler">
        <Get name="sessionManager">
            <Set name="secureCookies" type="boolean">true</Set>
        </Get>
    </Get>
</Configure>


真的