我正在使用Java开发一个似乎有会话劫持漏洞的应用程序。
为了防止这种情况,建议在登录后更改用户的JSESSION ID
我的应用程序基于Struts 2.0和Tomcat 7,我已经实现了一个代码,可以在用户登录后更改JSESSIONID。
但是,我在运行代码时遇到以下问题。
java.lang.IllegalStateException: setAttribute: Session already invalidated
at org.apache.catalina.session.StandardSession.setAttribute(StandardSession.java:1289)
at org.apache.catalina.session.StandardSession.setAttribute(StandardSession.java:1254)
at org.apache.catalina.session.StandardSessionFacade.setAttribute (StandardSessionFacade.java:130)
at org.apache.struts2.dispatcher.SessionMap.put(SessionMap.java:181)
这是我写的代码:
HttpSession httpSession = ServletActionContext.getRequest().getSession();
HashMap<String, Object> attributes = new HashMap<String, Object>();
Enumeration<String> enames = httpSession.getAttributeNames();
while ( enames.hasMoreElements() )
{
String name = enames.nextElement();
if ( !name.equals( "JSESSIONID" ) )
{
attributes.put( name, httpSession .getAttribute( name ) );
}
}
httpSession.invalidate();
httpSession = request.getSession(true);
for ( Map.Entry<String, Object> et : attributes.entrySet() )
{
userInfoMap.put( et.getKey(), et.getValue() );
}
getSession().put("userid",userId);//Setting value to session
答案 0 :(得分:0)
通常当您invalidate会话时,您应该重定向到某个操作,因此如果操作实现SessionAware,新会话映射将注入其中。
但是在您发布的代码中,您尝试重用会话映射,同时它包含旧会话。