Tomcatにhttp経由で安全なJSESSIONID Cookieを使用させる

Question

Tomcat 7を設定して、あらゆる場合にセキュアフラグ付きのJSESSIONID Cookieを作成する方法はありますか？

通常の設定では、httpsを介して接続が行われた場合にのみ、TomcatはセキュアフラグでセッションCookieにフラグを立てます。ただし、私の実稼働シナリオでは、Tomcatはhttps接続を処理（および終了）し、http経由でTomcatに接続するリバースプロキシ/ロードバランサーの背後にあります。

プレーンHTTPを介して接続が行われている場合でも、Tomcatを使用してセッションCookieにセキュアフラグを強制的に設定できますか？

Kresimir Nesek · Accepted Answer

最終的に、私の最初のテストとは異なり、web.xmlソリューションはTomcat 7で機能しました。

例えば。このスニペットをweb.xmlに追加し、リバースプロキシがプレーンHTTP経由でTomcatに接続する場合でも、セッションCookieをセキュアとしてマークします。

<session-config> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> </session-config>

Mark Thomas · Answer

ServletContext.getSessionCookieConfig（）。setSecure（true）