3

web.xml に次のものがあります。

<session-config>
  <cookie-config>
    <http-only>true</http-only>
    <secure>true</secure>
  </cookie-config>
  <session-timeout>15</session-timeout>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

ただし、OWASP の Zed Attack Proxy (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project) によると、Cookie はまだ httpOnly または secure フラグなしで Spring Security によって設定されています。

同じアプリを Tomcat 7 にデプロイすると、web.xml からのこれらの設定が適用されるように見えます。

4

1 に答える 1

0

解決策:要素を正しい順序に並べます。

<session-config>
    <session-timeout>15</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
于 2012-09-06T20:56:05.407 に答える