У меня есть apache2.4.6 и dotcms2.3.2 в suselinux. Я хочу установить httponly и защитить falg в dotcms и tomcat . Я установил эти конфигурации в apache и tomcat: <Context useHttpOnly="true">
в context.xml
<Connector maxThreads="400" connectionTimeout="3000" port="8080" protocol="HTTP/1.1" redirectPort="8443" URIEncoding="UTF-8" secure="true" />
в server.xml
Header edit Set-Cookie ^(.*)$ $1;HttpOnly
or
Header set Set-Cookie HttpOnly;Secure
in httpd.conf
.
после этого перезапустите tomcat и протестируйте его с помощью пакета burp, но он не устанавливается в файле cookie.
Header edit Set-Cookie ^(.*)$ $1;HttpOnly
должно работать, если не установлен mod_headers! или заголовок не существует! - person undone   schedule 22.12.2013