频道导航

java – 调用invalidate后重新使用会话ID

2020-01-04 Java 前端之家

前端之家收集整理的这篇文章主要介绍了java – 调用invalidate后重新使用会话ID，前端之家小编觉得挺不错的，现在分享给大家，也给大家做个参考。

我继承了一个非常古老的JSP应用程序(JDK 1.3.1_15),并试图插入会话固定漏洞.

在使用HttpSession.invalidate()进行身份验证后,我成功地使当前会话无效,但是在创建新会话时,将重新使用旧会话ID.

<%
// login.jsp
if (authenticated) {
    request.getSession().invalidate();

    // create new session and store data
    HttpSession session = request.getSession();
    session.putValue(...);
    // etc

    response.sendRedirect("logged-in.jsp");
    return;
}
%>

我可以在HTTP监视器中看到新的会话分配,它只是再次使用相同的号码.

-- Initial request response --
HTTP/1.1 200 OK
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/

-- login.jsp request response --
HTTP/1.1 302 Moved Temporarily
Location: http://example.com/logged-in.jsp
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/

在我使用session.invalidate()之前,第二个Set-Cookie响应头根本不存在.

有没有人对如何生成新的会话ID有任何建议？我对JRUN4不是很熟悉,但是通过配置文档进行拖网并没有发现任何问题.

最佳答案

要解决此问题,您可以使用第二个非持久性cookie作为可以控制其值的会话ID.我们的想法是生成一个唯一的ID并将其存储在cookie和会话中.通过使用invalidate,尝试使用此cookie尝试对此cookie实现相同的逻辑.具体而言,在身份验证成功之前,请不要发出将来可以接受的实际标识符.然后创建一个Servlet过滤器,检查每个请求并将此新cookie的值与存储在会话中的值相匹配.如果它们不匹配,就会发生一些邪恶的事情.我知道这比仅仅依靠session.invalidate()发布一个新的ID要麻烦一些.但是考虑到你的约束和JRun的行为,这将提供足够的保护来防止会话固定.

上一篇：java – 如何在jar文件中嵌入perl 下一篇：java – 如何通知xjc不要通过xs：

猜你在找的Java相关文章

ArrayList源码分析

ArrayList简介：ArrayList 的底层是数组队列，相当于动态数组。与 Java 中的数组相比，它的...

作者：前端之家时间：2021-02-27

java多线程与并发（基础篇）

一、进程与线程进程：是代码在数据集合上的一次运行活动，是系统进行资源分配和调度的基本...

作者：前端之家时间：2021-02-27

LinkedList 的实现原理

本文为博客园作者所写： 一寸HUI，个人博客地址：https://www.cnblogs.com/zsql/...

作者：前端之家时间：2021-02-27

java之面向对象详解

#############java面向对象详解#############1、面向对象基本概念2、类与对象3、类和对象的...

作者：前端之家时间：2021-02-27

java之异常详解

一、什么是异常? 异常就是有异于常态，和正常情况不一样，有错误出错。在java中，阻止当前...

作者：前端之家时间：2021-02-27

Map的四种遍历

//Map的四种遍历方法 //Map不能直接遍历，只能通过遍历Key与Value间接遍历 public static...

作者：前端之家时间：2021-02-25

throw和throws的区别以及try,catch,finally在有return的情况下执行的顺序

一，抛出异常有三种形式，一是throw,一个throws，还有一种系统自动抛异常。下面它们之间的...

作者：前端之家时间：2021-02-25

Jdk14 都要出了，Jdk9 的新特性还不了解一下？

中最大的亮点是 Java 平台模块化的引入，以及模块化 JDK。但是还有很多其他新功能，这篇...

作者：前端之家时间：2021-02-25

还看不懂同事代码？快来补一波 Java 7 语法特性

Jdk 频繁更新，新特性了解吗？每次更新都注重提高生产效率，提高 JVM 性能，推行模块化等，...

作者：前端之家时间：2021-02-25

Java 12 新特性介绍，快来补一补

Java 12 早在 2019 年 3 月 19 日发布，这些新特性你知道吗

作者：前端之家时间：2021-02-25

编程分类

PHP Java Java SE Python C#C&C++Ruby VB asp.Net Go Perl netty Django Delphi Jsp .NET Core Spring Flask Springboot SpringMVC Lua Laravel Mybatis Asp Groovy ThinkPHP Yii swoole

最新文章