經常看到一些人說tomcat6不支持httponly,查閱官方幫助文檔後發現是可以支持的,tomcat6的context.xml配置說明
爲什麼需要httponly
sessionid一般是以cookie的形式儲存和傳送的,除非禁用cookie; cookie是可以通過javascript進行讀取,所以需禁用sessioid通過javascript進行讀取,這時候就可以通過設置Cookie的http-only屬性,禁止客戶端腳本讀取。
tomcat設置
在conf/context.xml配置文件中進行設置的,爲Context標籤添加如下屬性即可開啓(true)或禁止(默認)HttpOnly:
<Context useHttpOnly="true">