由于我目前对此的理解水平,我一直有一种行为,我只能认为是奇怪的.
我有apache版本:2.4.7在Ubuntu代理上通过AJP 1.3 tomcat 7.0.52.0运行一个spring应用程序(MVC)和apache shiro 1.2作为安全框架.
我在apache2.conf中设置了header条目,如下所示
@H_404_6@Header always append X-Frame-Options SAMEORIGIN Header edit Set-Cookie ^(.*)$$1;HttpOnly;Secure如果使用以下任一或所有方法在tomcat端强制执行标志,我会有相同的行为:
> conf / context.xml,上下文标记的useHttpOnly =“true”属性
> conf / server.xml,带有ajp或http的secure =“true”属性
>连接器WEB-INF / web.xml具有以下内容
< cookie的配置>
<仅HTTP>真< /仅HTTP>
<安全>真< /安全>
< / cookie的配置>
在此之后,在/ login处有一个安全和httponly标志,在认证成功后,所有这些标志在应用程序中消失,在任何对服务器的调用中.一旦用户注销,标志将返回另外一个:jsessionid和RememberMe上的DeleteMe.
此/ login页面使用secure和httponly标志创建jsessionid
验证成功后,2步auth jsessionid没有标志
在帐户仪表板中也没有标志
但在注销时,旗帜又回来了
我的问题是
1:这是通常的行为
2:如果这是实际行为,这是否意味着cookie在会话ID的整个生命周期内都是安全的?
