ジェフのブログ記事を読んだ後クッキーの保護: HttpOnlyWeb アプリケーションに HttpOnly クッキーを実装したいと思います。
セッションに http のみの Cookie を使用するように Tomcat に指示するにはどうすればよいですか?
ベストアンサー1
httpOnly は Tomcat 6.0.19 および Tomcat 5.5.28 以降でサポートされています。
を参照してください変更履歴バグ 44382 のエントリ。
バグに関する最後のコメント44382「これは 5.5.x に適用されており、5.5.28 以降に含まれる予定です」と記載されていますが、5.5.28 はリリースされていないようです。
httpOnly機能は、以下のすべてのWebアプリケーションで有効にすることができます。conf/context.xml:
<Context useHttpOnly="true">
...
</Context>
私の解釈では、それはまた、希望に応じて設定することで、個々のコンテキストにも機能する。コンテクストエントリーconf/server.xml(上記と同じ方法)。