Question

Я использую код ниже, чтобы избежать перехвата сессии.
Я могу успешно войти в систему, когда я выполняю любую другую операцию после входа в систему, затем он разрушает мой сеанс и снова запрашивает логин.

Пожалуйста, подскажите, что я делаю неправильно и что мне делатьчтобы избежать перехвата сессии.

<session-config>
    <cookie-config>
    <!--     <http-only>true</http-only> -->
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

Dark Knight · Answer 1 · 03 декабря 2018

Тег

<http-only> true </http-only> должен быть без комментариев.Также такое же поведение может быть достигнуто на стороне Java, как

@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    // perform login checks and other validations

    String sessionid = request.getSession().getId();
    String contextPath = request.getContextPath();

    response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid
            + "; Path=" + contextPath + "; HttpOnly; Secure");

    response.sendRedirect("/some path");
}

Избегайте угона сессии

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Избегайте угона сессии

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов