2

Mozilla 能够恢复我的 Java EE 银行应用程序的会话(崩溃时,恢复会话选项)。

有没有办法通过编写一些代码来防止 Mozilla 恢复会话?或者是否可以识别会话恢复时发出的请求并强制用户再次登录?

4

4 回答 4

2

我正在研究同样的问题。

我认为让浏览器恢复旧会话通常是一个坏主意。但是我尝试了几件事,例如设置缓存控制标头,但这对我不起作用。

所以我确实在考虑在脚本中解决这个问题。

但是,我看到不同解决方案的不同问题。

1)在浏览器关闭时删除cookie->问题:您应该使用javascript添加漏洞来执行此操作,因为http_only应该设置为false

2) 将 cookie_lifetime 从 0(浏览器关闭时)设置为例如 3600(1 小时)。--> 问题:将其设置为高会丢失安全性并将其设置为低会给用户一个“会话已过期”错误消息,这意味着他们必须再次登录。

3) 添加第二个带有过期日期的 cookie。如果 cookie 在那里,一切都很好。--> 问题:(几乎)与 2 相同)只有在设置 cookie 后可以更改到期日期时,这才有效。在这种情况下,用户应该保持活跃至少 XX 分钟,否则他会失去他的会话(对我来说似乎是正确的)。

我自己会看看后面的。

因此,在这种情况下,我使用的是 PHP(不是 Java),但我想总体思路是一样的:

//create expiration cookie
private function setExpireCookie(){

    //expire cookie: name, value, expiration in seconds, path, domain, https, http-only
    setcookie("Test_Expire", "Expire", time()+3600, "/test", null, false, true);
}

//check if expiration cookie exits
private function expireExists() {

    return isset($_COOKIE['Test_Expire']);

}

//set the session check for expiration cookie
private function getSession() {

    //does the session cookie exists and the expiration cookie doesnt?
    if (!$this->expireExists() && isset($_COOKIE['Test_Cookie'])) {

        //to remove the cookie by setting the expiration time before now
        setcookie("Test_Cookie", $_COOKIE['Test_Cookie'], time()-3600, "/test");
    }

    //now we can set the new expiration cookies en start the new session
    $this->setExpireCookie();

    //set cookie params: lifetime, path, domain, https, http-only
    session_set_cookie_params(0, "/api", null, false, true);

    session_name('Test_Cookie');

    //start session
    session_start();
}

这对我有用。所以希望你可以在Java中应用它

于 2013-03-25T10:56:23.630 回答
0

我不知道它是否直接回答了您的问题,但您可以关闭恢复之前的会话。以下链接中的详细信息来自 Mozilla。

http://support.mozilla.org/en-US/kb/restore-previous-session#w_configuring-session-restore

于 2012-10-29T18:16:02.827 回答
0

看起来这种方式还不存在(截至 2013 年 3 月 4 日)。让我们希望浏览器开发人员能够理解 Session Restore 会带来安全漏洞。

于 2013-03-04T08:50:22.020 回答
0

如果您需要在浏览器崩溃后使页面无效,则应使用驱动缓存行为的 HTTP 标头:

<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<META HTTP-EQUIV="CACHE-CONTROL" CONTENT="NO-CACHE">
<META HTTP-EQUIV="EXPIRES" CONTENT="0">

M。

于 2012-07-11T13:49:59.830 回答