Ограничить параметр ibm_security_logout? LogoutExitPage

Question

Я работаю над приложением, работающим на IBM Websphere 8.0.Всякий раз, когда я добавляю ibm_security_logout?logoutExitPage=<any other website or domain>, сеанс завершается, и пользователь перенаправляется на другой веб-сайт.

Я согласен с уничтожением сеанса, но я не хочу, чтобы пользователь был перенаправлен на любой другой упомянутый веб-сайт.после параметра logoutExitPage.

Может ли кто-нибудь помочь мне с этим?

Дайте мне знать, если потребуется дополнительная информация.

Answer 1

Убедитесь, что вы применили последний пакет исправлений.Это было исправлено в 8.0.0.1, которая позволяла только страницы с того же сайта.Если вам нужно перейти на внешние сайты, вам нужно настроить следующие параметры:

По умолчанию URL-адрес страницы выхода из системы должен указывать на хост, к которому был сделан запрос, или его домен.В противном случае отображается общая страница выхода из системы.Если вам нужно указать этот URL-адрес для другого хоста, вам нужно установить свойство com.ibm.websphere.security.logoutExitPageDomainList в файле security.xml со списком URL-адресов, которые разрешены для страницы выхода из системы.Вы можете разрешить использование любой страницы выхода из системы, установив для свойства com.ibm.websphere.security.allowAnyLogoutExitPageHost значение true.Если для этого свойства установлено значение true, ваши системы могут подвергаться потенциальным атакам с перенаправлением URL-адреса.

Подробнее см. Настройка входа в веб-приложение