如何使用mod_header删除会话cookie的安全标志?
问题描述:
我的Apache Tomcat运行在通过mod_jk连接的Apache httpd web服务器后面。如何使用mod_header删除会话cookie的安全标志?
当浏览器请求https页面(而不是http)作为其第一个会话请求时,Tomcat会发送带有安全标志的会话cookie,从而使用户的登录会话稍后可用于http页面。
如何使用mod_header删除会话cookie的安全标志?
我已经尝试在web.xml中添加一个选项,如下所示。
<session-config>
<cookie-config>
<secure>false</secure>
</cookie-config>
</session-config>
但是,它不起作用。我猜这个选项不会使servlet请求不安全,并且Tomcat会在会话cookie上放置安全标志,除非上下文的会话配置和servlet请求都不安全。
答
这是我自己的解决方案添加到httpd-vhost.conf现在:
Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"