加密会话（SSL）Cookie 中缺少 Secure 属性

appscan扫出来的漏洞，应用服务器是was8.5 ，web服务器是apache http server，配置了ssl加密传输，这个问题说的是在ssl传输中，系统所用的cookie没有进行设置secure属性。

首先cookie分为两种，一种是用户浏览器请求应用服务器建立的会话所存的会话cookie，cookie名称为JSESSIONID，第二种为系统运行时因记录登录信息或其他用途而产生的各种cookie。

首先看第一种，第一种可通过在was管理控制台配置，如下图所示：

至于第二种，则在系统设置cookie的时候，把cookie的secure属性设为true就行了。设置了secure属性的cookie只在https中传输和分享，http是不传输的哦，所以大家要注意了，由于我是http与https混用的，所以我多加了一个判断，当协议名为https的时候才设置这个属性，通过requets.getScheme来判断。

 cookie.setSecure(true);