经常看到一些人说tomcat6不支持httponly,查阅官方帮助文档后发现是可以支持的,tomcat6的context.xml配置说明
为什么需要httponly
sessionid一般是以cookie的形式储存和传送的,除非禁用cookie; cookie是可以通过javascript进行读取,所以需禁用sessioid通过javascript进行读取,这时候就可以通过设置Cookie的http-only属性,禁止客户端脚本读取。
tomcat设置
在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启(true)或禁止(默认)HttpOnly:
<Context useHttpOnly="true">
原文地址:http://blog.51cto.com/2074199/2073136
时间: 2024-10-09 05:28:45