1

製品の顧客は、保護されたページの 1 つに直接ログインしようとしています。

login url="https://" + anIp + ":5443/om";

GetMethod authget = new GetMethod(url);
..
Header cookie = authget.getResponseHeader("Set-Cookie");

ログインページの Cookie (J-session id) は Cookie に保存され、これはログインページの後に来る 2 番目のページからいくつかの情報にアクセスするために 2 番目の get で再び使用されます。

2ページ目url=https://" + anIp + ":5443/om/service.do?action=listservice

注 : どちらのページもセキュリティで保護されたページ (https) です。問題は、tomcat5.5 で両方の Cookie が同じであることを確認したことです。しかし、Tomcat 6.0 では、最初の Cookie を使用して 2 番目のページにアクセスしようとすると、機能しません。https ページから別の https(のみ) ページへのナビゲーションであっても、6.0 で Cookie が変更されていることがわかりました。6.0 の何が問題なのかわかりません。5.5 から 6.0 tomcat への Cookie 管理の変更はありますか。これについて知っている人がいたら教えてください。

4

1 に答える 1

2

Tomcat の最近のバージョンでは、認証の境界を超えると (たとえば、ユーザー名とパスワードを入力すると)、セッション ID が変更されます。これは、セッション固定攻撃を防ぐためです。

セッション ID を追跡しているクライアントがある場合は、セッション ID を継続的に追跡し、JSESSIONID Cookie を含むすべての応答のセッション ID を更新する必要があります。

于 2012-07-27T14:06:59.700 に答える