Я вошел в систему с двумя разными пользователями, и оба пользователя имеют одинаковые привилегии.
, когда я копирую идентификатор сеанса user1 (суперпользователь) и вставляю его вместо сеанса user2 (пользователь нижнего уровня)id, затем user2 становится user1 и может получить доступ ко всем функциям user1.
как я могу ограничить это?
Какие проверки я должен проверить?
теперь после успешного входа в систему, при каждом запросе я проверяю только, активен ли идентификатор входящего сеанса или нет?
предложить.Я работаю над Struts2.
Я уже установил некоторые параметры в HTTP-ответе, но я так не думаю, это поможет остановить перехват сеанса.
response.addHeader("X-Content-Type-OPTIONS", "nosniff");
response.addHeader("X-XSS-Protection", "1; mode=block");
response.addHeader("Expires", "0");
response.addHeader("Pragma", "no-cache");
response.addHeader("Cache-control",
"no-cache, no-store,max-age=0, must-revalidate");
response.addHeader("Strict-Transport-Security",
"max-age=7776000; includeSubdomains");
response.setHeader("Set-Cookie", " path="+request.getContextPath()+" ;secure ;HttpOnly; SameSite=strict");