cookie-config 仅对新创建会话生效,不影响已有 cookie;需清理浏览器 cookie 或用隐身窗口验证,且须确保反向代理正确传递协议头、前端请求携带 credentials、domain/samesite 配置合法。
session-config 中 cookie-config 不生效的常见原因
直接说结论:cookie-config 配置只在容器创建新会话(即调用 request.getSession() 且 session 不存在时)才写入 Cookie 响应头;如果会话已存在、或客户端已携带旧 JSESSIONID,容器不会重发 Cookie,配置自然“看起来没用”。
典型现象:改了 http-only 或 secure,但浏览器里旧 Cookie 还是没标记;或者本地开发设了 max-age,但关掉浏览器再打开,会话仍存在——其实是浏览器复用了内存中未过期的 Cookie,不是服务端没配对。
-
cookie-config不影响已有 Cookie,只控制新发的响应头 - 必须配合客户端清理(比如清空浏览器 Cookie 或用隐身窗口验证)才能观察效果
- 若应用前端用
XMLHttpRequest或fetch且未设credentials: 'include',Cookie 根本不会被带上,此时服务端配置再全也没意义
secure 和 http-only 在不同部署环境下的行为差异
secure="true" 并不等于“只在 HTTPS 下生效”,而是要求容器只在响应协议为 HTTPS 时才发送该 Cookie;但如果反向代理(如 Nginx)终止 SSL,而 Tomcat 收到的是 HTTP 请求,它就认为不安全,不会加 Secure 标志——即使用户实际走的是 HTTPS。
同理,http-only="true" 是防止 JS 读取 document.cookie,但它对拦截网络请求、调试工具、或服务端 Session 劫持无防护能力。
- 反向代理场景下,需在
web.xml外额外配置 Tomcat 的RemoteIpValve,让容器识别真实协议头(如X-Forwarded-Proto) -
http-only开启后,前端axios或fetch仍可自动携带 Cookie,但document.cookie读不到值,调试时别误以为“Cookie 没传” - 某些老版本 IE 对
http-only支持不一致,但现代主流浏览器均无问题
session-timeout 设置后,Cookie max-age 为什么没同步更新
session-config 里的 session-timeout 控制服务端 Session 对象的失效时间(单位分钟),而 cookie-config 中的 max-age 控制浏览器端 Cookie 的存活秒数——两者完全独立。不显式配置 max-age,容器默认发的是「会话级 Cookie」(即浏览器关闭即失效),和 session-timeout 无关。
例如:设了 session-timeout 为 30 分钟,但没设 max-age,用户关掉浏览器再打开,Session 就丢了;而如果设了 max-age="1800",Cookie 会在 30 分钟后自动删除,哪怕浏览器一直开着。
- 要实现“服务端 30 分钟过期 + 浏览器 30 分钟自动删 Cookie”,必须同时配
session-timeout和cookie-config/max-age -
max-age值为负数(如-1)表示会话 Cookie(默认行为),设为0表示立即删除(常用于登出逻辑) - 注意单位:
session-timeout是分钟,max-age是秒
Tomcat 9+ 对 cookie-config 的兼容性限制
Tomcat 9 默认启用严格 Cookie 处理(RFC 6265),如果 cookie-config 中设置了 domain 但值不合法(比如带协议、含下划线、或非一级域名),整个 Cookie 可能被浏览器拒绝,导致会话无法维持。
更隐蔽的问题是:Tomcat 9.0.31+ 后,若未显式声明 same-site,容器不会自动补默认值,而现代浏览器(Chrome 80+)会对缺失 SameSite 的 Cookie 应用 Lax 策略——这可能导致跨站表单提交或 iframe 内嵌时丢失会话。
- Domain 值必须以点开头(如
.example.com),且不能是 IP 或 localhost - 如需跨子域共享 Session,务必确认域名格式合法,并测试各浏览器表现
- Tomcat 10+ 支持
same-site属性,但低版本需靠过滤器或响应头手动设置
真正容易被忽略的,是 Cookie 生命周期由三段独立逻辑共同决定:服务端 Session 对象存活时间、响应 Cookie 的 Max-Age 或会话属性、以及浏览器自身策略(比如 Chrome 的第三方 Cookie 限制)。配错其中一环,问题就可能出现在你看不见的地方。
