在tomcat中设置httpOnly为false。
我有一个grails应用程序,在其中我需要将在tomcat中设置httpOnly为false。,tomcat,grails,Tomcat,Grails,我有一个grails应用程序,在其中我需要将httpOnly设置为false,这样我就可以从客户端访问JSESSIONID 我使用了install templates,并在项目中获得了web.xml 我在这里补充说: <session-config> <session-timeout>20160</session-timeout> <cookie-config> <http-only>false</
httpOnlyfalseJSESSIONIDinstall templatesweb.xml<session-config>
<session-timeout>20160</session-timeout>
<cookie-config>
<http-only>false</http-only>
<secure>false</secure>
</cookie-config>
</session-config>
20160
假的
假的
JSESSIONID谢谢 这在Tomcat7上吗?我使用的是Grails2.3。所以我不确定,它使用的是哪个版本的tomcat。所以如果您使用的是默认值,那就是“是”。在这种情况下,您应该阅读此链接中关于HttpOnly标志的部分,并注意server.xml在Tomcat 7中有需要修改的设置。如果您使用的是Tomcat插件,那么您需要以编程方式对其进行配置,您可以在这里阅读更多信息:以上两个链接将引导您找到解决方案。为了完整起见,这里是Tomcat 7的文档,以便您可以查看/验证设置:另外,我应该注意,您所做的操作被认为是一种不好的做法,并使您的会话暴露于XSS攻击。如果你不想接受这种风险,你可能需要重新考虑你的方法。只是旁注。祝你好运