关于安全性：如何在tomcat / java webapps中配置HttpOnly cookie？

但请注意，这将覆盖所有cookie，并且只会在此过滤器中设置您在此处指定的内容。

如果在JSESSIONID cookie中使用其他cookie，则需要扩展此代码以在过滤器中设置所有cookie。对于多cookie来说，这不是一个很好的解决方案，但是对于仅JSESSIONID的设置来说，这可能是一个可接受的快速修复方法。

请注意，随着代码的不断发展，当您忘记此过滤器并尝试在代码中的其他位置设置另一个cookie时，会有一个令人讨厌的隐藏错误等待着您。当然，它不会被设置。

这确实是一个hack。如果您确实使用Tomcat并且可以编译它，那么请看一下Shabaz关于将HttpOnly支持修补到Tomcat中的出色建议。

请注意不要覆盖https-sessions中的"; secure" cookie标志。此标志可防止浏览器通过未加密的http连接发送cookie，从而使对合法请求的HTTP使用变得毫无意义。

如果您的Web服务器支持Serlvet 3.0规范，例如tomcat 7.0+，则可以在web.xml中使用以下代码：

如文档中所述：

HttpOnly: Specifies whether any session tracking cookies created by
this web application will be marked as HttpOnly

Secure: Specifies
whether any session tracking cookies created by this web application
will be marked as secure even if the request that initiated the
corresponding session is using plain HTTP instead of HTTPS

请参考如何为Java Web应用程序设置httponly和会话cookie

对于会话cookie，Tomcat似乎尚不支持它。请参阅错误报告。需要添加对HTTPOnly会话cookie参数的支持。现在可以在这里找到一些涉及的变通方法，基本上可以归结为手动修补Tomcat。目前，我感到非常震惊，目前还无法找到一种简单的方法。

总结一下解决方法，它涉及下载5.5源，然后在以下位置更改源：

org.apache.catalina.connector.Request.java

org.apache.catalina.connectorResponse.addCookieInternal

我在OWASP中找到

这也解决了"配置中的httponlycookies"安全问题

对于我明确设置的Cookie，我改用了Apache Shiro提供的SimpleCookie。它没有继承自javax.servlet.http.Cookie，因此要使一切正常工作还需要花费一些时间，但是它确实提供了HttpOnly属性集，并且可以与Servlet 2.5一起使用。

要在响应上设置Cookie，而不是执行response.addCookie(cookie)，您需要执行cookie.saveTo(request, response)。

还应该注意的是，打开HttpOnly将破坏需要状态访问jvm的applet。

Applet http请求将不会使用jsessionid cookie，并且可能会分配给其他tomcat。

在Tomcat6中，您可以有条件地从HTTP侦听器类启用：

使用本课程