Era*_*dan 7 java security servlets jsessionid session-hijacking
我正在寻找一个简单的英语,"for dummies"解释JSESSIONID如何从安全方面工作
Ste*_*n C 13
问:仅仅知道我当前的JSESSIONID的人是否可以冒充/劫持我的会话?
答:是的.
这就是为什么您的网站小心使用cookie非常重要.实际上,如果您担心数据包嗅探,这意味着您只应在通过HTTPS连接1发送请求时发送会话cookie .设置'httpOnly'标志可以通过阻止客户端javascript等使用cookie来帮助解决问题.
问:在什么情况下,JSESSIONID将成为URL的一部分
答:通常,当Web服务器(在容器级别)将会话令牌放入URL时会发生这种情况:
显然,这是不安全和"不良做法"......虽然短暂的会话超时确实会缓解这种情况.(或者,它可以通过HTTPS ...只要用户不与其他人共享URL 1.)
对于Tomcat 6.x,我认为阻止容器(永远)将会话ID添加到URL的方法是将disableURLRewriting="false"属性添加到上下文中.
对于Tomcat 7:
Context.disableURLRewriting:已删除.通过在Web应用程序或全局CATALINA_BASE/conf/web.xml文件中配置session-config/tracking-mode元素,可以获得等效的效果.
1 - 这假设您已修补(等)您的Web服务器以解决已知的SSL端点漏洞.如果没有,您的HTTPS连接可能不安全.