如果某些正文复制在其他浏览器上附加 jsessionid 示例 www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1 的 URL 或同一浏览器中的新选项卡,我如何防止重复使用 jsessionid。
应用程序基于运行在 websphere 6.1 上的 struts 1.1
请帮忙
问问题
1948 次
2 回答
1
您可以在 Websphere Application 6.1 中禁用 URL 重写,参见。http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html。
于 2011-08-19T15:45:24.700 回答
0
WebSphere Application Server 通常不强制对 HTTP 会话访问进行任何授权。具有有效会话标识符的任何一方都可以访问任何会话。虽然会话标识符不太可能被猜测,但可以通过其他方式获得会话标识符。为了降低这种形式的攻击的风险,您应该考虑启用会话安全。此设置配置在
服务器 > 服务器名称 > Web 容器 > 会话管理
选中标有安全集成的框。完成此操作后,WebSphere Application Server 将跟踪哪个用户(由他们提供的 LTPA 凭证确定)拥有哪个会话,并确保只有该用户可以访问该会话。
您必须使用 WebSphere Application Server 提供的身份验证和授权机制才能完成这项工作。换句话说,您必须启用应用程序安全性并利用JavaEE 安全角色。
于 2011-09-18T10:18:10.740 回答