Spring MVCでweb.xmlのセクションにを指定すると、セッション管理に使用されるクッキーにSecure属性が追加され、HTTPS接続でのみ送信されるようになります。具体的な動作は以下の通りです。
設定例
web.xmlで以下のように設定します:
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
動作概要
セッション管理クッキーのSecure属性追加:
上記の設定を追加すると、セッション管理に使用されるクッキー(通常はJSESSIONID)にSecure属性が設定されます。
これにより、セッションIDクッキーはHTTPS接続の場合にのみ送信されます。HTTP接続では送信されません。
セキュリティの向上:
Secure属性を設定することで、セッションIDが平文のHTTP接続で送信されることを防ぎ、クッキーの盗聴を防ぐことができます。
これは特に機密性の高いデータを扱うアプリケーションにおいて重要です。
HTTPSの使用が必須:
アプリケーションはHTTPSを使用するように構成されている必要があります。HTTPのみの環境では、セッション管理クッキーが送信されないため、セッションが正しく機能しません。
参考URL