设置Tomcat sessionid的HTTP-only属性

sessionid是以cookie的形式储存和传送的,这样JavaScript就能随意获取和修改它,给系统带来安全隐患,Cookie有一个HTTP-only属性,设置该属性后客户端脚本就不能读取该Cookie了。以下是给Tomcat的sessionid设置HTTP-only的方法:

tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly:

<Context useHttpOnly="true">

参考:http://www.itzhai.com/xss-script-with-http-only-cookie-jsessionid-way-to-get.html

你可能感兴趣的:(tomcat,sessionid)