問題タブ [sessionid]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - PHP の ?PHPSESSIONID=xxxx の URL への自動追加を無効にする
ホームで wp-cumulus を使用する Web サイトを開発しています
http://www.roytanck.com/2008/03/06/wordpress-plugin-wp-cumulus-flash-based-tag-cloud/
素敵なクラウド タグを表示するためのフラッシュ コンポーネントです。
それを使用するために、私は発行します:
ホームページ(index.php)で、次のようなリダイレクトを発行します
問題は、リダイレクトされた php が &PHPSESSIONID=xxxx をすべてのリンクに自動的に追加するときに、はい、javascript が含まれていることです!!!
結果:
コンポーネントはアンパサンドが好きではないようで、機能しません...
phpがそのようなものを追加しないようにするにはどうすればよいですか?
私はすでに試しました:
index.phpで、しかしそれはうまくいきませんでした
また、ルートに次の内容の .htaccess ファイルを作成してみました。
php_value session.use_only_cookies 1 php_value session.use_trans_sid 0
そして
php_flag session.use_only_cookies 1 php_flag session.use_trans_sid 0
しかし、サイトはハングアップするだけで、ログに次のエラーが記録されます
[Mon Jan 11 12:01:13 2010] [alert] [client 201.250.119.217] /www/docs/ludion.com.ar/public_html/.htaccess: 無効なコマンド 'php_value' です。サーバー構成に含まれる...
[Mon Jan 11 12:11:27 2010] [alert] [client 201.250.119.217] /www/docs/ludion.com.ar/public_html/.htaccess: 無効なコマンド 'php_flag' です。サーバー構成に含まれる
何か案が???
cookies - クラシック ASP: ASPSESSIONID* Cookie が安全であるとマークされているかどうかを確認する方法は?
ASP セッション ID Cookie を HttpOnly としてマークしようとしていますが、機能しているかどうかを確認する方法が見つかりません。私がこれを試している環境は次のとおりです: OS: Windows Server 2003 IIS: 6 ASP バージョン: ASP 3 (Classic ASP)
Cookie を http のみとしてマークするために、MS KBに従いました。
アーキテクトの提案によると、これが機能するかどうかをテストするには、javascript の document.cookie が ASPSESSIONID* Cookie を読み取れないようにする必要があります。私の問題は、暗号化されているように見えますが、 javascript:alert(document.cookie) がまだ ASPSESSIONID* Cookie をエコーすることです(?)
また、Response.AddHeader "Set-Cookie" を介してこれを実行しようとしましたが、すべての Cookie または少なくとも ASP セッション ID Cookie を HttpOnly としてマークするために、このヘッダーに指定する値を決定できません。ヘルプ!!!
asp.net - ASP.NET - Global.ASAX からのセッション ID を取得します。
人々が .NET 2.0 Web アプリケーションにログインしてからのセッション開始時刻を記録していますが、セッション ID も記録したいと考えています。これを達成する方法 (Global.ASAX 内からセッション ID にアクセスする方法) のサンプル コードを教えてください。
追加情報が必要な場合は、お知らせください。
iis-7 - 複数のユーザーに割り当てられているセッション/セッション ID
誰かがセッションとその ID に関する最新情報を入手してくれることを願っています。
IIS 7 を実行していますが、セッションが複数の IP アドレスに割り当てられています。
ユーザーがモデムのプラグを抜くなどして IP アドレスをリセットしたことが原因である可能性を排除しました。
少なくとも 1 つのインスタンスで、ユーザーがログインし、別のユーザーからのデータが自分のアカウントに保存されていることを発見しました (データが保存されるアカウントを決定するユーザー ID は、セッション変数に保持されます)。別の例では、別のユーザーのセッションが与えられたときに、従業員が問題をチェックするためにログインしました。
セッション変数だけではありませんが、ログで、セッション ID 自体が 2 つの異なる IP アドレスに関連付けられていることを確認しました。ある時点で、これはユーザーの 10% 以上で発生していました。
いずれの場合も、セッション ID を共有する IP が同じ ISP 上にあるか、少なくとも 1 つの NameServer を共有していることがわかるため、問題がシステムにあるのではないかと考えています。
どんなアイデアでも大歓迎です。私たちは必死になっています!
php - Web サイトごとに異なるセッション テーブルが必要ですか?
独自のドメインからさまざまな顧客に提供されている複数の Web アプリケーション (PHP) があります。各ドメインには明らかに個別の Cookie とセッションがあります (ドメインとパスはすべて正しく設定されています)。
一意のセッションを保証するために、Web サイトごとにデータベースに完全に個別のセッション テーブルを設定する必要がありますか? ファイルベースのセッションを使用していた場合、各サーバーは同じセッションストアを使用するため、その必要はないと思います。したがって、DBストアを使用すると、テーブルも再利用できると思います。
セッション コード (私は ADODB を使用しています) では、セッションの作成中にセッション ID の衝突を処理するコードが表示されません。
php - ブラウザでCookieが受け入れられている場合でも、phpにURLでSIDを渡すように強制します
ブラウザがCookieを受け入れている場合でも、phpがURLを介してセッションIDを自動的に渡すようにしようとしています。
urlセッションIDは通常、セキュリティリスクと見なされますが、ブラウザのCookie設定に関係なく、複数の個別のユーザーが同じphpセッションにログインできるようにする必要がある非常に特殊なアプリケーションを念頭に置いています。ここでの私の目的は、脅威ではなく、URLを共有することです。
ユーザーの「グループ」がいくつかあり、各グループには一意の共有セッションが必要であるため、コードに固定セッションIDを適用するだけでは機能しません。グループの「所有者」がセッションを開始し、一意のIDを取得してから、これをURLを介して他のすべてのユーザーに渡すことができるようにしたいと思います。
これは既存のアプリケーションであるため、他のユーザーの通常のセッション動作に影響を与える変更を加えることはできません。これは、特定のIPグループのユーザー向けです。そのため、標準のセッション処理を変更しようとしています。
ini_set()を使用してsession.use_cookieを無効にしようとしましたが、それは単にセッションがまったく記憶されないようにするだけです。
どんな提案もありがたく受けました。
security - セッション識別子はどのように生成されますか?
ほとんどの Web アプリケーションは、ユーザーとの何らかのセッションに依存しています (たとえば、ログイン ステータスを保持するため)。セッション ID は、ユーザーのブラウザーで Cookie として保持され、すべての要求と共に送信されます。
次のユーザーのセッションを推測しにくくするために、これらのセッション ID はまばらで、ある程度ランダムである必要があります。も一意である必要があります。
問題は、まばらで一意のセッション ID を効率的に生成する方法です。
この質問には、一意の乱数に対する適切な回答がありますが、配列が最終的に大量のメモリを消費するため、大きな範囲の数値に対してはスケーラブルではないようです。
編集:
- GUID は、セキュリティ (およびランダム性) に関する限り、安全ではないと見なされます。
- 中心的な問題は、数値が一意であることを確認することです。つまり、数値が繰り返されず、効率的になります。
java - セッション Cookie と IE 8
私は最近、Tomcat にデプロイされた単純な Web アプリを作成しました。このアプリは、ログインしたユーザーにセッションが与えられる、かなり標準的なセッション ベースのセキュリティを使用します。
セッションは Firefox と Chrome で正常に動作しますが、IE の URL で jsessionid を使用する必要があり (7 と 8 でテスト済み)、中程度のプライバシーに設定されています。IE 8 で、「すべてのサード パーティの Cookie を許可する」と「すべてのセッション Cookie を許可する」を設定して、Cookie の処理を上書きしようとしましたが、さいころはありません。ただし、ローカル マシンで Tomcat を実行すると、IE は Cookie を受け入れ、セッションは問題なく動作します。
次に、HTTP ヘッダーについてです。
Chrome から、ログインしているユーザーがセッションを取得します
IE 8 以降、標準の中レベルのセキュリティとプライバシー -
P3Pかなと思ったのですが、コンパクトポリシーを追加しても何も変わりません。これは標準的な Tomcat セッションなので、これまでに同じ問題を抱えている他の人を見つけることができなかったことに本当に驚いています。誰にもアイデアはありますか?
編集 2010 年 4 月 3 日 -
これを明確にしなかった場合は申し訳ありません-IEの他の複数のインスタンスから試しました-廊下の同僚など。
編集 2010 年 4 月 3 日 -
また、すべての Cookie のプロンプトをオンにしようとしましたが、プロンプトが表示されません。Fiddler を使用して「Set-Cookie」ヘッダーにドメインを設定しても、違いはありませんでした。
php - $ _SESSION ['layout'] ['action']をすべてのユーザーからグローバルに削除します!
わかりました。データベースを呼び出す代わりに、設定されている場合にユーザーレイアウトをより速くロードするために、このようなセッション変数を格納しています。ただし、管理者を介してレイアウトを変更できるため、すべてのユーザーに対して$ _SESSION['layout']['action']が設定されているすべてのセッションをグローバルに削除できるようにしたいと思います。
これで、データベースセッションテーブルに格納されていることがわかりました。session_id、last_update、およびdataの列があります。だから、私が持っている質問は、すべてのユーザーからそのセッション配列キー['action']を削除する方法です。
使用する
動作しません。基本的に、session_start()はページが読み込まれるたびに読み込まれるため、['layout']からすべての['action']キーを削除したいと思います。
これは可能ですか?ありがとう
java - EJBモジュールからHttpSessionにアクセスする方法はありますか?
現在、セッションIDを取得する必要があるため、HttpSessionを取得する必要がありますが、EJBモジュールにサーブレットがありません。では、おそらくWebサービスAPIのようなDIアノテーションですか?