Probléma
By default, a session sütin a Security flag nincs beállítva, így nyílt szövegben kerül átvitelre a sessionID még a HTTPS kapcsolat kiépítése előtt. Beállítása (részben) kiküszöböli a Session Hijacking támadásokat.
Megoldás
Az application.yml-ben fel kell venni a következőt:
server:
servlet:
session:
cookie:
secure: true
Ez viszont csak akkor legyen beállítva, ha vagy az alkalmazás SSL-t használ, vagy van előtte egy Reverse Proxy Privát vagy törött linkek
Az oldal amit keresel, vagy privát, vagy nem létezik! :(
. Ha nem így teszünk, akkor localhoston működni fog a belépés, viszont külső elérésnél nem lesz érvényes a süti.