请教,我在用漏洞扫描软件对项目安全扫描时,提示cookie中缺少HttpOnly属性

嘎嘣豆 发布于 2014/07/03 11:48
阅读 4K+
收藏 0
我在开发时,只用到session来保存用户id,没有用到cookie 。HttpOnly还要设置吗?我没找到可以设置的地方。我用的是servlet 2.5
加载中
0
TonyJian
TonyJian
比较新的版本默认HttpOnly是开启的,也可以到server.xml在Context里添加属性useHttpOnly="true"
TonyJian
TonyJian
回复 @嘎嘣豆 : 如果扫描工具报,你就开启呗,一般也无所谓
嘎嘣豆
嘎嘣豆
@TonyJian 大神的意思是在Tomcat的server.xml里配置HttpOnly=true?
返回顶部
顶部