我的Apache Tomcat在运行通过mod_jk连接的Apache httpd Web服务器后面运行。
[当浏览器请求https页面(而不是http)作为其第一个会话请求时,Tomcat发送带有安全标志的会话cookie,这将使用户以后登录的会话无法用于http页面。
如何使用mod_header删除会话cookie的安全标志?
我已经尝试过将选项添加到web.xml中,如下所示。
<session-config>
<cookie-config>
<secure>false</secure>
</cookie-config>
</session-config>
但是,它不起作用。我猜这个选项不会使servlet请求不安全,并且Tomcat会在会话cookie上放置安全标志,除非上下文的会话配置和servlet请求都不安全。
这里是我自己的解决方案,现在暂时添加到httpd-vhost.conf:
Header edit* Set-Cookie "(JSESSIONID=.*)(; Secure)" "$1"