标签: java oracle jboss5.x atg-dynamo session-fixation
我正在研究ATG和应用程序,并遇到了与会话固定相关的安全缺陷。我的应用服务器是JBOSS EAP 5.1.2
我在博客中读到了一种防止会话固定问题的方法,即在用户登录后更改JSESSIONID,但无法更改会话ID,无法使现有会话无效。但是,如果我这样做,那么我的所有会话对象也无法用于新会话。如果我试图将会话对象复制到另一个会话,事情会变得更加混乱。
有没有办法阻止JBOSS配置端的会话固定或者如果有任何人在ATG端做到这一点请帮忙。
感谢。