У меня есть веб-приложение, которое работает на сервере Tomcat 7. Файл cookie с идентификатором сеанса по умолчанию имеет флаги HttpOnly
и Secure
. Я хочу отключить эти флаги для cookie JSESSIONID
. Но это не сработает. Я изменил это в моем файле web.xml
, но он не работает.
<session-config>
<session-timeout>20160</session-timeout>
<cookie-config>
<http-only>false</http-only>
<secure>false</secure>
</cookie-config>
</session-config>
Я знаю, что это угроза безопасности, потому что злоумышленник может украсть файл cookie и захватить сессию, если он нашел xss vuln.
Файл cookie JSESSIONID
должен быть отправлен с HTTP и HTTPS и с запросами AJAX.
Edit:
Я успешно отключил флаг HttpOnly
, добавив следующий параметр в файл conf/context.xml
:
<Context useHttpOnly="false">
....
</Context>