如果某些正文附加了jsessionid示例www.lample.com/user/feedback;jsessionid=sdfererefjjefeife33f:1在其他浏览器或同一浏览器中的新标签页上,我可以如何阻止重用jsessionid。
应用程序基于在websphere 6.1上运行的struts 1.1构建
请帮助
答案 0 :(得分:1)
您可以在Websphere Application 6.1中禁用URL重写。 http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html。
答案 1 :(得分:0)
WebSphere Application Server通常不会强制执行HTTP会话访问的任何授权。具有有效会话标识符的任何一方都可以访问任何会话。虽然会话标识符不太可能是可猜测的,但是可以通过其他方式获得会话标识符。要降低此类攻击的风险,您应考虑启用会话安全性。此设置在
配置服务器>服务器名称> web容器>会话管理
选中标记为安全集成的复选框。完成此操作后,WebSphere Application Server将跟踪哪些用户(由他们提供的LTPA凭据确定)拥有哪个会话,并确保只有该用户才能访问该会话。
您必须使用WebSphere Application Server提供的身份验证和授权机制才能使其工作。换句话说,您必须启用应用程序安全性并使用JavaEE security roles。