RojerChen.2015.05.23

最近維護的 JBOSS 被掃瞄到弱點，分別是下面這兩點：

Cookie without Secure flag set
Cookie without HttpOnly flag set
針對這兩點弱點可以在 web.xml 上面修改設定

  <session-config>
    <session-timeout>120</session-timeout>
<cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
  </session-config>