Springboot配置http-Only

项目框架

jdk1.8、springboot2.5.10

情况一

项目中未使用（权限认证框架：Sa-Token）

application.yml文件内增加配置

• server.servlet.session.cookie.http-only=true
• server.servlet.session.cookie.secure=true (此条配置建议也加上)

情况二

项目中使用（权限认证框架：Sa-Token）

使用Sa-Token会使“server.servlet.session.cookie.http-only=true”配置失效，因为框架会重写cookie。

application.yml文件内增加配置

# Sa-Token 配置
sa-token: 
    # Cookie 相关配置 
    cookie: 
        secure: true
        httpOnly: true

成功截图