今天收到一份项目bug的扫描漏洞:
然后搜索资料解决方法:
1 设置设置Tomcat 的 web.xml中的session-config标签文件:
<session-config>
<session-timeout>30<session-timeout>
<cookie-config>
<secure>true<secure>
<http-only>true<http-only>
</cookie-config>
<session-config>
2 在Login .jsp主页面加入:
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");