那些遇到过的问题

调用invalidate后重新使用会话ID

Phi*_*hil 5 java jsp jrun httpsession

我继承了一个非常古老的JSP应用程序(JDK 1.3.1_15),并试图插入会话固定漏洞.

我在使用身份验证后成功地使当前会话无效,HttpSession.invalidate()但是在创建新会话时,会重新使用旧会话ID.

<%
// login.jsp
if (authenticated) {
    request.getSession().invalidate();

    // create new session and store data
    HttpSession session = request.getSession();
    session.putValue(...);
    // etc

    response.sendRedirect("logged-in.jsp");
    return;
}
%>
Run Code Online (Sandbox Code Playgroud)

我可以在HTTP监视器中看到新的会话分配,它只是再次使用相同的号码.

-- Initial request response --
HTTP/1.1 200 OK
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/

-- login.jsp request response --
HTTP/1.1 302 Moved Temporarily
Location: http://example.com/logged-in.jsp
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/
Run Code Online (Sandbox Code Playgroud)

在我使用session.invalidate()第二个Set-Cookie响应头之前根本不存在.

有没有人对如何生成新的会话ID有任何建议?我对JRUN4不是很熟悉,但是通过配置文档进行拖网并没有发现任何问题.

归档时间:

查看次数:

10047 次

最近记录:

13 年 前
是否可以在tomcat servlet中禁用jsessionid? 67
更多相关链接
相关归档
连接String对象列表的最佳方法是什么? 141
Java中是否有eval()函数? 140
使用Scala中的Option包装Java中的null返回方法? 92
访问限制:由于对所需库的限制而无法访问..\jre\lib\rt.jar 76
crudrepository findBy方法签名有多个in运算符? 62
如何创建可执行Java程序? 54
如何区分注销和会话过期? 6
在JSTL中编写自定义函数 5
为什么我在运行简单的 Spring Boot 应用程序时总是得到状态为“404”的白标签错误页面 4
从servlet在jsp页面中显示图像 3
难疑归档
如何从SQL Server中的SELECT更新? 3546
在'for'循环中访问索引? 3312
.prop()vs .attr() 2249
如何将元素移动到另一个元素? 1611
lodash和下划线之间的差异 1566
你怎么读斯坦丁? 1389
为什么Dictionary优先于Hashtable? 1348
你如何重命名Git标签? 1162
endsWith在JavaScript中 1085
如何将div中的绝对定位元素居中? 1034