我正在研究在IBM Websphere 8.0上运行的应用程序。
每当我附加ibm_security_logout?logoutExitPage=<any other website or domain>时,会话都会终止,并且用户将被重定向到另一个网站。
我同意会话被销毁,但我不希望用户重定向到logoutExitPage参数后面提到的任何其他网站。
有人可以帮我吗?
让我知道是否需要更多信息。
答案 0 :(得分:0)
确保已应用最新的修订包。 8.0.0.1中对此进行了修复,该版本仅允许来自同一网站的页面。如果需要访问外部站点,则必须配置以下参数:
默认情况下,登出页面的URL应指向发出请求的主机或其域。否则,将显示通用注销页面。如果需要将此URL指向其他主机,则需要在security.xml文件中设置
com.ibm.websphere.security.logoutExitPageDomainList属性,并使用注销页面允许的URL列表。您可以通过将com.ibm.websphere.security.allowAnyLogoutExitPageHost属性设置为true来选择允许使用任何注销退出页面。将此属性设置为true可能会使您的系统遭受潜在的URL重定向攻击。
有关更多详细信息,请检查Customizing web application login