Предотвращение повторного использования jsessionid

Question

Как я могу предотвратить повторное использование jsessionid, если какой-то основной текст копирует URL, который добавляет пример jsessionid www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1 в другой браузер или новую вкладку в том же браузере.

Приложение построено на стойках 1.1, работающих в веб-сфере 6.1

Пожалуйста, помогите

Answer 1

Вы можете отключить перезапись URL в Websphere Application 6.1, ср. http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html.

Answer 2

WebSphere Application Server обычно не требует какой-либо авторизации доступа к сеансу HTTP. Любая сторона с действительным идентификатором сеанса может получить доступ к любому сеансу. Хотя идентификаторы сеанса вряд ли можно угадать, возможно, можно получить идентификаторы сеанса с помощью других средств. Чтобы снизить риск этой формы атаки, вы должны рассмотреть возможность включения безопасности сеанса. Этот параметр настроен на

сервер> имя сервера> веб-контейнер> управление сеансом

Установите флажок с надписью интеграция безопасности. Как только это будет сделано, WebSphere Application Server будет отслеживать, какой пользователь (как определяется учетными данными LTPA, которые они представляют) владеет каким сеансом, и будет гарантировать, что только этот пользователь может получить доступ к этому сеансу.

Чтобы сделать эту работу, вы должны использовать механизмы аутентификации и авторизации, предоставляемые WebSphere Application Server. Другими словами, вам нужно будет включить защиту приложений и использовать роли безопасности JavaEE .