如何防止重複使用jsessionid,如果某些主體複製在其他瀏覽器上添加jsessionid示例www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1的url或者同一個新選項卡中的url瀏覽器。防止重複使用jsessionid
應用是建立在運行通過WebSphere支柱1.1 6.1
請幫助
如何防止重複使用jsessionid,如果某些主體複製在其他瀏覽器上添加jsessionid示例www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1的url或者同一個新選項卡中的url瀏覽器。防止重複使用jsessionid
應用是建立在運行通過WebSphere支柱1.1 6.1
請幫助
您可以禁用URL在WebSphere Application 6.1參見重寫http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html。
WebSphere Application Server通常不會強制執行HTTP會話訪問的任何授權。具有有效會話標識符的任何一方都可以訪問任何會話。儘管會話標識符不可能被猜測,但可能通過其他方式獲得會話標識符。爲了減少這種攻擊風險,您應該考慮啓用會話安全性。此設置在
服務器>服務器名稱> Web容器>會話管理
配置勾選標記安全集成。完成此操作後,WebSphere Application Server將跟蹤哪些用戶(由他們提供的LTPA憑證確定)擁有哪個會話,並確保只有該用戶才能訪問該會話。
您必須使用WebSphere Application Server提供的認證和授權機制才能完成此工作。換句話說,您將必須啓用應用程序安全性並使用JavaEE security roles。