Security 如何让jetty在使用安全通道时发送带有安全标志的jsessionid cookies
我在生产环境中使用Tomcat,在测试环境中使用jetty(通过jetty maven插件) Tomcat在通过安全通道(https)发送JSSessionID cookie时,在JSSessionID cookie上设置安全标志,这对我来说似乎是个好主意,因为它可以防止用户在登录时暴露会话。但Jetty却不是这样 我想强制Jetty表现得像Tomcat一样,并始终在通过安全通道发送的jsessionid cookies上设置安全标志,因为否则,我的测试环境表现出与生产环境相当不同的行为。但我找不到任何配置选项来实现这一点Security 如何让jetty在使用安全通道时发送带有安全标志的jsessionid cookies,security,tomcat,cookies,encryption,jetty,Security,Tomcat,Cookies,Encryption,Jetty,我在生产环境中使用Tomcat,在测试环境中使用jetty(通过jetty maven插件) Tomcat在通过安全通道(https)发送JSSessionID cookie时,在JSSessionID cookie上设置安全标志,这对我来说似乎是个好主意,因为它可以防止用户在登录时暴露会话。但Jetty却不是这样 我想强制Jetty表现得像Tomcat一样,并始终在通过安全通道发送的jsessionid cookies上设置安全标志,因为否则,我的测试环境表现出与生产环境相当不同的行为。但我找
我还想知道,这是否是Jetty中的安全漏洞。因为如果用户切换回不安全的通道,不将通过安全通道发送的jsessionid cookie标记为安全会显示安全会话。设置secureCookies属性所需的配置更改可以添加到jetty-web.xml文件中:
<Get name="sessionHandler">
<Get name="sessionManager">
<Set name="secureCookies">true</Set>
</Get>
</Get>
真的
我添加以下内容只是为了展示对我有效的完整示例
将以下内容放入WEB-INF/jetty-WEB.xml中
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">
<Configure class="org.eclipse.jetty.webapp.WebAppContext">
<Get name="sessionHandler">
<Get name="sessionManager">
<Set name="secureCookies" type="boolean">true</Set>
</Get>
</Get>
</Configure>
真的