tomcat设置httpOnly

原创

prue 2018-02-26 15:49:36 ©著作权

©著作权归作者所有：来自51CTO博客作者prue的原创作品，请联系作者获取转载授权，否则将追究法律责任

经常看到一些人说tomcat6不支持httponly，查阅官方帮助文档后发现是可以支持的，tomcat6的context.xml配置说明

为什么需要httponly

sessionid一般是以cookie的形式储存和传送的，除非禁用cookie； cookie是可以通过javascript进行读取，所以需禁用sessioid通过javascript进行读取，这时候就可以通过设置Cookie的http-only属性，禁止客户端脚本读取。

在conf/context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启（true）或禁止（默认）HttpOnly： <Context useHttpOnly="true">

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯