【发布时间】:2014-08-01 06:41:22
【问题描述】:
我正在尝试在 Weblogic 10.3 中为 JSESSIONID 设置 http-only 标志
显然在session-descriptor 下有一个名为cookie-http-only 的参数可以在Weblogic 9 中完成此操作,但Weblogic 10.3 缺少此参数。有没有其他选择?
我在某处读到 WL 10 HttpOnly 标志是默认设置的,但在我的情况下似乎并非如此。有人试图在 WL 10.3.5 here 中关闭 HttpOnly 标志
谢谢
weblogic.xml的内容我正在使用
<wls:weblogic-web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wls="http://www.bea.com/ns/weblogic/90" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd http://www.bea.com/ns/weblogic/90 http://www.bea.com/ns/weblogic/90/weblogic-web-app.xsd">
<wls:context-root>/</wls:context-root>
<wls:container-descriptor>
<wls:prefer-web-inf-classes>true</wls:prefer-web-inf-classes>
</wls:container-descriptor>
<wls:session-descriptor>
<wls:cookie-secure>true</wls:cookie-secure>
<wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
<wls:cookie-http-only>true</wls:cookie-http-only>
</wls:session-descriptor>
</wls:weblogic-web-app>
【问题讨论】:
标签: java weblogic jsessionid httponly