問題タブ [jsessionid]

I have a jsessionid cookie set by Jboss/Tomcat container to track sessions.

Currently, my app behaves badly in the IE 8 browser. It's not showing the correct DOMAIN name or PATH name.

Actually PATH should be "/Test" and DOMAIN should be "www.test.co.uk"

Can some one help me with jsessionid ?

jsessionidセキュリティ上の理由から、URLによるセッション追跡を無効にすることにしました。web.xml を以下のものに変更する前にjsessionid、最初のリンクをクリックした後、URL のページに初めてアクセスしたときに、それが再び表示されることはありませんでした。

私web.xmlのように見えます

これjsessionidで、URL に が含まれるようになりました。ページ上の別のリンクをクリックしても、消えることはありません。クリックするたびに変化します。

JSF アクションを呼び出そうとすると、 が返されますjavax.faces.application.ViewExpiredExceptionが、マネージド Bean は@SessionScopedです。

これは私の依存関係ツリーです:

編集:それがなくても動作しているように見えます

Cookie もデフォルトでセキュア モードになっています
が、これは正常ですか? この Cookie 設定はもう必要ありませんか? ありがとう！

質問はむしろ学術的な性質のものです...
私は次のアーキテクチャを持っています: Jboss AS ワーカーの前にある Apache サーバーは、mod_jk を使用して互いに通信します。JSESSIONID の生成にはどのアルゴリズムが使用されていますか、または何に基づいていますか? ある種のハッシュアルゴリズム（おそらくmd5）の出力に似ているようですか？

でsign.jsp、私は次のように書いています。これにより、ユーザーがすでにログインしている場合は、すぐにそのユーザーに転送されます。home page

セキュリティスキャンはでそれを伝えてMissing HttpOnly Attribute in Session Cookieいsign.jspます。

私が設定する場合： <Context useHttpOnly="true"> ... </Context>

の ：C:\Program Files\Apache Software Foundation\Apache Tomcat 6.0.20\conf

その後、私の問題は解決されますか、それとも他に何をしなければなりませんか？どんな提案でも大歓迎です

jquery フォーラム、stackoverflow、google、bing、さらには yahoo を検索しましたが、成功しませんでした。10 秒ごとに、次の JQuery スニペットを介して logservlet サーブレットからテキスト データをロードしようとしています。

問題は、サーバー側で、セッション属性を追跡しようとする有効なセッションが表示されないことです。この問題は、JQuery からの http 要求のヘッダーに "Cookie JSESSIONID=xxxxxxxxxxxxxxxxxxxxxxxxxxx" がないことに関連しているようです。サーバーから応答ヘッダーを取得していますが、JSESSIONID は要求ごとに常に変化します。

ただし、JQuery はそれ以降は使用しません。リクエスト ヘッダーは次のとおりです。

ここでの問題は何ですか？「$.ajax」呼び出しはセッションに対応していませんか? それとも、各 ajax リクエストで JSESSIONID を手動でハードコーディングするための配管コードを見逃していますか? そうですか、これはどのように見えるべきですか？ところで、Web ブラウザーから同じ URL を呼び出すと、JSESSIONID ヘッダーがサーバーに送信されます。

ありがとう。

次のような状況があります。

JSESSIONID は Cookie と URL の両方で送信されていますが、Adobe Flash BUG のため、それらは異なります (実際には、Cookie JSESSIONID は間違っています)。

やりたいことは、Cookie で送信された URL の代わりに、URL JSESSIONID を使用することです。つまり、request.getSession() を実行すると、Cookie ではなく URL の ID に関連付けられた HttpSession が返されるはずです。

Tomcat7 のソース コードを調べたところ、実際、Tomcat は最初に URL を解析し、識別子を検索しました。次に、Cookie SESSIONID が存在する場合は、それをオーバーライドします。CoyoteAdapter.java (tomcat 7.0.26) で切り取られたコードは次のとおりです。

Cookie JSESSIONID をまったく無効にすることもできますが、Web サイトのすべての URL で使用しているため、無効にすることはできません。JUST THIS SPECIFIC URL の Cookie を無効にしたいと考えています。

出来ますか？この問題を解決するための他のアイデアや回避策はありますか?

これを行うためのアプリケーションサーバーの中立的な方法を探しています。私はまだすべての利用可能なオプションをいただければ幸いです。

ログアウトボタンをクリックしたときにブラウザでWebアプリをログアウトしたい.jsコードだけで実装したいので、ログアウトサーブレットはありません. つまり、現在使用されていてブラウザのメモリに保存されているセッションIDを削除する必要がありますが、どうすれば同じことができますか?

Flash または Java アプレットのいずれかを使用してファイルをサーバーにアップロードすることは可能ですか。ターゲット URL は何らかの形式の認証によって保護され、Cookie は「httpOnly」としてマークされます。httpOnly を無効にしたり、セッション ID を含めたりする必要はありません。ターゲット URL または POST の別のパラメータとして?

つまり、Uploadifyのようなものを使用して、セッション ID をターゲット URL に追加せずにサーバーに送信する方法はありますか (例: http://www.example.com:8080/mysite/upload;jsessionid=ABCDEF ) ) 、 Uploadify が実行する POST のパラメーターとして、または httpOnly フラグを無効にしますか?

参考までに、Java 1.6 と Glassfish 3.1 を使用しています。

調べてみましたが、それは不可能のようです。上記の 3 つのオプションのいずれかを選択する必要があります。

それを考えると、これらのオプションのどれが「最小の悪」ですか? あるいは、この状況に対処する方法について何らかのガイダンスがある場合は、それへのポインタをいただければ幸いです。

ファイルのアップロードに使用しているため、Flash/Java を使用しないわけにはいきません。また、ユーザーが一度に複数のファイルを選択できるようにする必要があります。飛ぶ。古いバージョンの IE をサポートする必要があるため、HTML5 への移行もうまくいきません。

ユーザーにアーカイブをアップロードするように依頼するのは難しいかもしれませんが、ユーザーの動作を変更する必要があり、現在クライアント側で行っている多くの検証が利用できないことを意味します。ファイルが大きく、リンクが遅い。繰り返しますが、まったく理想的ではありません。

JSESSIONIDがセキュリティの観点からどのように機能するかについての「ダミー向け」のわかりやすい英語の説明を探しています。

• 私の現在のJSESSIONIDを知っているだけの人が、私のセッションを偽装/ハイジャックできますか？
• どのシナリオでJSESSIONIDがURLの一部になり、このOWASP＃2セキュリティリスク（シナリオ＃1）はTomcat / Glassfishの最新バージョンに引き続き関連しますか？もしそうなら、それを防ぐために何を「オフ/オン」にしますか？