设置Tomcat sessionid的HTTP-only属性

于 2012-10-08 15:33:00 发布 378 收藏
文章标签: java javascript python ViewUI
原文链接:https://my.oschina.net/scriptboy/blog/81970
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

sessionid是以cookie的形式储存和传送的,这样JavaScript就能随意获取和修改它,给系统带来安全隐患,Cookie有一个HTTP-only属性,设置该属性后客户端脚本就不能读取该Cookie了。以下是给Tomcat的sessionid设置HTTP-only的方法:

tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:

<Context useHttpOnly="true">

参考:http://www.itzhai.com/xss-script-with-http-only-cookie-jsessionid-way-to-get.html