我们知道 Spring Security 在 cookie 中提供 JSESSIONID,基于会话管理解决方案,它允许在同一浏览器的多个选项卡之间共享相同的 JSESSIONID 信息。
根据 OWASP 指南,它不应该共享。
有什么方法可以在 Spring Security 中禁用此共享?
问问题
6268 次
1 回答
1
我的第一个想法是“实际上不可能阻止浏览器这样做”。
但后来我发现了这个
您可以使用 HTML5 SessionStorage (window.sessionStorage)。您将生成一个随机 id 并保存在每个浏览器选项卡的会话存储中。然后每个浏览器选项卡都有自己的 ID。 https://stackoverflow.com/a/11783754/280244
我希望这可以帮助您找到解决方案。
于 2013-09-28T10:51:16.603 回答