问题标签 [jsessionid]

我有一个jsessionid由 Jboss/Tomcat 容器设置的 cookie 来跟踪会话。

目前，我的应用在 IE 8 浏览器中表现不佳。它没有显示正确的DOMAIN名称或PATH名称。

实际上PATH应该是“/Test”并且DOMAIN应该是“www.test.co.uk”

有人可以帮我jsessionid吗？

由于某些安全原因，我决定通过jsessionidURL 禁用会话跟踪。在我将 web.xml 更改为下面的之前，我第一次访问jsessionidurl 中的页面 a 时，单击第一个链接后，它就再也没有出现过。

我的web.xml样子

现在我jsessionid在 URL 中有 ，如果我单击页面上的另一个链接，它永远不会消失。每次点击都会改变。

如果我尝试调用 JSF 操作，我会得到一个javax.faces.application.ViewExpiredException但托管 bean 是@SessionScoped.

这是我的依赖树：

编辑：看起来它在没有

默认情况下，cookie 也处于安全模式，
这正常吗？我不再需要这个 cookie 配置的东西了吗？谢谢！

这个问题相当学术性质......
我有以下架构： Jboss AS 工作人员前面的 Apache 服务器使用 mod_jk 相互交谈。使用什么算法来生成 JSESSIONID 或者它基于什么？它似乎类似于某种哈希算法的输出（也许是 md5）？

在sign.jsp，我写了以下内容，这样，如果用户已经登录，那么他会立即被转发到他的home page

安全扫描Missing HttpOnly Attribute in Session Cookie在sign.jsp.

如果我要设置： <Context useHttpOnly="true"> ... </Context>

在 ：C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

那么我的问题会得到解决还是我还需要做什么？非常感谢任何建议

我搜索过 jquery 论坛、stackoverflow、google、bing，甚至 yahoo，都没有成功。每 10 秒我试图通过这个 JQuery 片段从 logservlet servlet 加载文本数据：

问题是，在服务器端，我没有看到我尝试跟踪会话属性的有效会话。该问题似乎与来自 JQuery 的 http 请求的标头中缺少“Cookie JSESSIONID=xxxxxxxxxxxxxxxxxxxxxxxxxxx”有关。我从服务器获取响应标头，JSESSIONID 总是随着每个请求而变化：

但是 JQuery 并没有随后使用它，这里是请求标头：

这里有什么问题？“$.ajax”调用不是会话感知的吗？还是我错过了一些管道代码来在每个 ajax 请求中手动硬编码 JSESSIONID？是这样，这应该是什么样子？顺便说一句，当我从 Web 浏览器调用相同的 url 时， JSESSIONID 标头被发送到服务器！

感谢：D。

我们有以下情况：

JSESSIONID 是通过 cookie 和 URL 发送的，但是由于 Adob​​e Flash BUG，它们是不同的（实际上，cookie JSESSIONID 是错误的）。

我们想要做的是使用 URL JSESSIONID 而不是在 cookie 中发送的那个。换句话说，当我执行 request.getSession() 时，它应该返回与 URL 中的 ID 关联的 HttpSession，而不是 cookie 中的。

我们查看了 Tomcat7 源代码，事实上，Tomcat 首先解析 URL，搜索标识符。然后，如果它们存在，它会用 cookie SESSIONID 覆盖它。这是 CoyoteAdapter.java (tomcat 7.0.26) 中截取的代码：

我们可以完全禁用 cookie JSESSIONID，但我们不能，因为我们将它用于网站中的所有 URL。我们想为这个特定的 URL 禁用 cookie。

可能吗？有没有其他想法或解决方法来解决这个问题？

寻找应用程序服务器中立的方式来做到这一点。我仍然会感谢所有可用的选项。

单击注销按钮时，我想在浏览器中注销我的 Web 应用程序。并且只想用 js 代码实现它。所以，没有注销 servlet。这意味着，我需要删除现在使用并存储在浏览器内存中的 sessionid，但我该怎么做呢？

是否可以使用 Flash 或 Java Applet 将文件上传到服务器，其中目标 URL 通过某种形式的身份验证受到保护，并且 cookie 被标记为“httpOnly”，而不必禁用 httpOnly 或包含会话 ID在目标 URL 中还是作为 POST 中的另一个参数？

也就是说，使用Uploadify之类的东西，有什么方法可以将会话 ID 发送到服务器，而无需将其添加到目标 URL（例如http://www.example.com:8080/mysite/upload;jsessionid=ABCDEF ) ，作为 Uploadify 执行的 POST 中的参数，还是禁用 httpOnly 标志？

作为参考，我们使用的是 Java 1.6 和 Glassfish 3.1。

我环顾四周，但似乎不可能 - 我必须选择上述三个选项之一。

鉴于此，哪些选项是“最不邪恶的”？或者，如果有一些关于如何处理这种情况的指导，将不胜感激。

我不能只是不使用 Flash/Java，因为我们将它用于文件上传，我们需要允许用户一次选择多个文件 - 期望他们将文件一一添加到标准 HTML 上传选择不会'飞。我们需要支持旧版本的 IE，所以去 HTML5 也行不通。

要求用户上传档案可能会飞，但这将要求他们改变他们的行为，这意味着我们目前在客户端进行的大量验证将不可用，这在您处理时会很痛苦带有大文件和慢速链接。所以，再一次，一点也不理想。

我正在寻找一个简单的英语“傻瓜”解释 JSESSIONID 如何从安全方面工作

• 只知道我当前 JSESSIONID 的人可以模拟/劫持我的会话吗？
• 在什么情况下 JSESSIONID 将成为 URL 的一部分，这个OWASP #2 安全风险（场景 #1）是否仍然与最新版本的 Tomcat / Glassfish 相关，如果是，如何“关闭/打开”以防止它？