我需要在JBoss中运行的Java Web应用程序中阻止Session Fixation,一种特殊类型的会话劫持.但是,似乎标准习惯用法在JBoss中不起作用.这可以解决吗?
这个缺陷(在这里找到)指出了解决方案的方法.在JBoss中运行的Tomcat实例配置为emptySessionPath ="true",而不是"false",这是默认值.这可以修改.../deploy/jboss-web.deployer/server.xml; HTTP和AJP连接器都有此选项.
该功能本身用于消除上下文路径(例如http://example.com/foo中的 "foo" ),使其不包含在JSESSIONID cookie中.将其设置为false将破坏依赖跨应用程序身份验证的应用程序,其中包括使用某些门户框架构建的内容.但是,它并没有对相关应用产生负面影响.
京公网安备 11010802040832号 | 京ICP备19059560号-6 