Ich verwende Tomcat in meiner Produktionsumgebung und Jetty in meiner Testumgebung (über das Jetty-Maven-Plugin).

Tomcat setzt das Secure-Flag in einem jsessionid-Cookie, wenn es über einen sicheren Kanal (https) gesendet wird, was für mich eine gute Idee ist, da es verhindert, dass die Sitzung angezeigt wird, wenn der Benutzer auf ein klickthttp: // - link. Aber Jetty tut das nicht!

Ich möchte Jetty dazu zwingen, sich wie Tomcat zu verhalten und das Secure-Flag immer auf jsessionid-Cookies zu setzen, die über einen sicheren Kanal gesendet werden, da sich meine Testumgebung ansonsten erheblich anders verhält als meine Produktionsumgebung. Aber ich kann keine Konfigurationsoption finden, um dies zu erreichen.

Ich frage mich auch, ob dies ein Sicherheitsfehler in Jetty ist. Wenn ein jsessionid-Cookie, das über einen sicheren Kanal gesendet wird, nicht als sicher markiert wird, wird die sichere Sitzung angezeigt, wenn der Benutzer zurück zu einem unsicheren Kanal wechselt.