Разрешающая фиксации сессии в JBoss

голоса
9

Мне нужно , чтобы предотвратить фиксацию сессии , определенный тип сеанса угона, в веб - приложении Java работает в JBoss. Тем не менее, представляется , что стандартная идиома не работает в JBoss . Может ли это быть работал вокруг?

Задан 11/08/2008 в 23:53
источник пользователем
На других языках...                            


4 ответов

голоса
8

Этот дефект (найденный здесь ) указывает путь к решению. Экземпляр Tomcat , который работает в JBoss настроен emptySessionPath = «истина», а не «ложь», которая по умолчанию. Это может быть модифицировано .../deploy/jboss-web.deployer/server.xml; как HTTP и коннекторы AJP имеют эту опцию.

Сама функция используется для устранения пути контекста (например, «Foo» в http://example.com/foo ) от включения в куках JSESSIONID. Установка в ложь сломает приложения , которые полагаются на аутентификации кросс-приложений, который включает в себя материал , построенный с использованием некоторых портальных структур. Это не отрицательно влияет на применение в вопросе, однако.

Ответил 12/08/2008 d 00:00
источник пользователем

голоса
0

Я пришел, чтобы узнать ниже код настройки фрагмента кода от одного из фото- галерей. И я добавил ниже строк. Но когда я напечатать идентификатор сеанса до и после войти в программы, то же самое. Как бы я проверить фиксацию сессии.

  1. D: \ jboss-5.1.0.GA \ Bin \ файл run.cof и добавьте строку ниже. набор "JAVA_OPTS =% JAVA_OPTS% -Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = ложь"

  2. в каждом context.xml из JBoss приложений. D: \ jboss-5.1.0.GA \ сервер \ умолчанию \ Deploy \ jbossweb.sar \ context.xml

Ответил 21/05/2013 d 10:36
источник пользователем

голоса
0

Один из способов заключается в хранении адрес клиента в сессии. Ответ обертка должны подтвердить адрес клиента, установленный в сессии такой же, как тот, обращающийся сеанс.

Ответил 23/05/2011 d 12:27
источник пользователем

голоса
0

Эта проблема и конкретный случай, в котором это происходит, проблема в Tomcat, а также JBoss. Tomcat разделяет emptySessionPath = «истинный» эффект (и на самом деле JBoss наследует его от Tomcat).

Это действительно похоже на ошибку в Tomcat и JBoss, когда вы пытаетесь предотвратить атаки фиксации сессии, но сервлета спецификации (по крайней мере версии 2.3) на самом деле не требует JSESSIONID быть определены или переопределены в соответствии с какой-либо конкретной логики. Возможно, это было очищено в более поздних версиях.

Ответил 27/05/2010 d 08:44
источник пользователем

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more