有人知道在Tomcat 6和Tomcat 7配置上有哪些改变,导致JSESSIONID cookie无法通过JavaScript访问吗?
使用Tomcat 6:
alert(document.cookie); // JSESSIONID=8675309ABCDEF...
使用Tomcat 7:
alert(document.cookie); // nothing
Tomcat 7 - JSESSIONID cookie无法从JavaScript代码中访问
12
- Jeff R.
1
如果不清楚,请注意,第一行是在Tomcat 6中发生的情况,第二行是在Tomcat 7中发生的情况。 - Jeff R.
1个回答
13
好的,我找到了答案。在 Tomcat 6 中,默认情况下将 useHttpOnly 属性设置为 false,而在 Tomcat 7 中则设置为 true。该属性是针对 <Context> 容器设置的。
<Context useHttpOnly="false" [...] />
有关从Tomcat 6更新到7的更多信息: 从6.0.x迁移到7.0.x
我不确定为什么之前在文档中没有看到这个,但我已经验证将其设置为false确实会导致Tomcat 7恢复到Tomcat 6的行为。
- Jeff R.
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 5 如何利用环境变量在Tomcat 7中保护JSessionID Cookie
- 24 Tomcat 7会话cookie路径
- 61 更改cookie JSESSIONID名称
- 7 JBoss 7 将 JSESSIONID 添加到 URL 中,尽管跟踪模式为 cookie。
- 5 在Tomcat 7中通过HTTP头(cookie)禁用jsessionid
- 10 Apache Tomcat 7 在每个请求上更改 JSESSIONID
- 3 JAVA更改JSESSIONID cookie
- 30 Tomcat中带有过期日期的JSESSIONID Cookie
- 30 强制Tomcat在http上使用安全的JSESSIONID cookie
- 10 Tomcat 7作为Windows服务,无法从其他系统访问