私の Apache Tomcat は、mod_jk 経由で接続された Apache httpd Web サーバーの背後で実行されています。
ブラウザーが最初のセッション要求として (http ではなく) https ページを要求すると、Tomcat はセキュア フラグを含むセッション Cookie を送信します。これにより、ユーザーのログイン セッションが後で http ページで使用できなくなります。
mod_header を使用してセッション Cookie のセキュア フラグを削除するにはどうすればよいですか?
以下のように web.xml にオプションを追加しようとしました。
<session-config>
<cookie-config>
<secure>false</secure>
</cookie-config>
</session-config>
しかし、うまくいきません。このオプションはサーブレット リクエストを安全ではないと思います。Tomcat は、コンテキストのセッション構成とサーブレット リクエストの両方が安全でない限り、セッション Cookie にセキュア フラグを設定します。