4

だから私はApacheプロキシレイヤーでTomcatを使用するJava Webアプリケーションを持っています。アプリから設定されたすべての Cookie に httpOnly フラグを設定したいと考えています。これに関する問題は、Tomcat がアプリケーション側からフラグを設定する責任があり、そのデフォルト (サーブレット API 2.5) が false であることです。Apacheを使用してオンザフライですべてのCookieにこのフラグを設定できることを望んでいました。

私はさまざまな組み合わせを試してきましたが、私が得た最も近いものは、もちろん間違っている httpOnly に渡された最後の Cookie を設定することです:

Header append Set-Cookie "; HttpOnly"

アプリから渡される Cookie/値を知る方法がありません。これは可能ですか?

4

2 に答える 2

8

次の mod_headers の書き換えには、HttpOnlyそのようなことが重要な場合に、既に存在する場合に重複しないという利点があります。

  Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"

見る:

于 2012-07-25T23:30:10.490 に答える