问题标签 [jsessionid]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 从一个 https 页面导航到 tomcat 6.0.24 上的另一个 https 页面时,J-session id 会更改
我们的产品客户正试图直接登录到我们的安全页面之一。
登录页面的 cookie(J-session id)保存在 cookie 中,这在第二次获取中再次用于访问登录页面之后的第二个页面的一些信息。
第二页url=https://" + anIp + ":5443/om/service.do?action=listservice
注意:两个页面都是安全的(https)。问题是:在 tomcat5.5 上,我们观察到两个 cookie 是相同的。但是在 tomcat 6.0 上,当我们尝试使用第一个 cookie 访问第二个页面时,它不起作用。我们观察到,即使导航是从 https 页面到另一个 https(仅)页面,cookie 在 6.0 上也发生了变化。我无法弄清楚 6.0 中有什么问题。从 5.5 到 6.0 tomcat 的 cookie 管理是否有任何变化。如果有人知道这件事,请告诉我。
tomcat - 使用 jsessionid 路径参数重定向会导致 404 错误
自从迁移到新服务器后,我们在登录 Web 应用程序时遇到 404 错误。我们使用 Spring Acegi 进行身份验证,HTTP 流比较典型:
原因在于路径参数 ';jsessionid=..' 的某个地方,其中分号被编码为 %3b,然后服务器找不到
/dev/login.go%3bjsessionid=DA122287727B72CD3F1B77DBD799531F
我确定这不是一个不常见的问题,但我找不到任何好的谷歌点击。我们使用的是 Apache Tomcat/6.0.35,浏览器是 IE 9。
谢谢西蒙
tomcat7 - 使用 Tomcat 7 更改 JSESSION ID
根据 tomcat 文档,tomcat7 不易受到会话固定攻击。但是我的 tomcat 7.0.25 和 7.0.27 很容易受到这种攻击。成功登录后,JSESSIONID cookie 值不会更改。
我在我的 conf/context.xml 中添加了以下阀门。但这没有用。请帮我。
我也开始知道 JSESSION ID cookie 值只会在身份验证时发生变化。身份验证是什么意思?是否将应用程序从 http 切换到 https ?
是否已经构建了可以更改登录时的 jsession id 值的任何东西?现在我正在通过代码更改它。
提前致谢。如果您需要更多信息,请告诉我。
问候,
普拉尚古普塔
jsessionid - 寻找生成jsessionid的代码
我正在寻找用于创建 jsessionids 的默认代码库。它可能因实例而异,但我似乎无法在网上找到它,只是解释如何更改/设置它。
谢谢
java - 如何从 JSP 中的 URL 中检索 jsessionid?
我知道如何将 jsessionid 传递给 URL。我对 url 进行编码,如下所示:
mysite.com;jsessionid=0123456789ABCDEF (http)
是否存在使用 Java 从 URL 中检索 jsessionid 的内置方法?我在javadocs isRequestedSessionIdFromURL中找到了这个方法,但它并不能帮助我实际检索值。我必须建立自己的检索方法吗?
谢谢你。
c# - 从 C# 桌面应用程序中的 HttpWebResponse 获取 JSESSIONID
我使用 MSDN 示例创建了这个示例。
无法获取 JSESSIONID。我需要在一个会话中进行多个 GET/POST 查询,这就是我需要 JSESSIONID 的原因。请帮帮我。
jakarta-ee - 什么是主机专用 cookie?
我想知道什么是host onlycookie。
检索form auth时,浏览器会在标头中获取 JSESSIONID cookie,显示为host only.
android - 在 android 的 HttpURLconnection 中添加 ;jsessionid 以获取 GET 请求的问题
在第一个屏幕中的我的 android 应用程序中,用户使用会话 id 进行身份验证和 servlet 回复......在第二个屏幕中,用户再次调用 servlet,并将 url 中添加的会话 id 作为 ;jsession="sessionid" 以及参数。 ..
但是 servlet 没有获得会话 id,而是作为一个没有身份验证的新会话进行响应......
问题出在哪里?
我正在使用此代码进行连接
java - 通过另一台服务器绕过 SSO 系统时的良好做法和陷阱?
我负责通过两个我无法触及的 Apache HTTPD 服务器维护一个具有两个不同访问点的 Web 应用程序(位于 Tomcat 服务器上)。
这两个接入点旨在通过第三方 SSO 系统或提示输入登录名和密码的良好身份验证页面登录用户。
诀窍是,此 SSO 对可以上传或下载的文件大小进行了限制。由于 SSO 用户需要检索和发送比这更重的东西,我需要一个解决方法,很可能只是提供一个链接,通过其他服务器指向正确的资源位置。
我在这里担心的是安全性,以防有人输入一个巧妙猜测的地址来获取他不应该得到的文件。负责人不想听到 SessionManager 以确保用户有权检索文档,但建议我可以简单地使用他们的 JSESSSION_ID 来确认他们的身份......
我不确定如何实现这一点,并且有一种严重的直觉认为这将以一种非常可怕的方式适得其反。
必须处理类似问题的任何人都可以指出一些陷阱,并可能分享一些有关如何安全绕过此 SSO 的有用技巧吗?
java - 如何知道是否有其他窗口使用相同的 JSESSIONID?
我知道这几乎是同一个问题:Joe 问
我有一个网络应用程序。当我关闭窗口(在浏览器上单击 X)时,它将调用注销功能。
问题是当我打开 Web 应用程序并在不同窗口(新窗口或另一个选项卡)上打开相同的 Web 应用程序时。并关闭其中一个窗口,即使该应用程序仍有一个打开的窗口,它也会调用注销功能。
我想要做的是,首先检查是否有其他窗口使用与我即将关闭的当前窗口相同的 jsessionid。当我关闭该窗口时,如果没有使用相同 jsessionid 的窗口,它只会调用注销功能。