जेबॉस में सत्र निर्धारण को हल करना

This defect (found here) points the way to the solution. The Tomcat instance that runs in JBoss is configured with emptySessionPath="true", rather than "false", which is the default. This can be modified in .../deploy/jboss-web.deployer/server.xml; both the HTTP and AJP connectors have this option.

सुविधा का उपयोग संदर्भ पथ को समाप्त करने के लिए किया जाता है (उदाहरण के लिए http://example.com/foo) JSESSIONID कुकी में शामिल होने से। इसे गलत पर सेट करने से उन अनुप्रयोगों को तोड़ दिया जाएगा जो क्रॉस-एप्लिकेशन प्रमाणीकरण पर भरोसा करते हैं, जिसमें कुछ पोर्टल ढांचे का उपयोग करके निर्मित सामग्री शामिल होती है। हालांकि, सवाल में आवेदन को नकारात्मक रूप से प्रभावित नहीं किया गया था।

सत्र में ग्राहक पते को स्टोर करना एक कामकाज है। एक प्रतिक्रिया रैपर को सत्र में सेट क्लाइंट एड्रेस को मान्य करना चाहिए, जो सत्र तक पहुंचने जैसा ही है।

यह समस्या और विशिष्ट मामला जिसमें यह होता है वह टॉमकैट के साथ-साथ जेबॉस में एक समस्या है। टॉमकैट खाली सत्रपैथ = "सच" प्रभाव साझा करता है (और वास्तव में जेबॉस इसे टॉमकैट से प्राप्त करता है)।

जब आप सत्र निर्धारण हमलों को रोकने की कोशिश कर रहे हैं तो यह वास्तव में टॉमकैट और जेबॉस में एक बग जैसा प्रतीत होता है लेकिन सर्वलेट स्पेक (कम से कम संस्करण 2.3) को वास्तव में किसी भी विशिष्ट तर्क के अनुसार JSESSIONID को परिभाषित या परिभाषित करने की आवश्यकता नहीं होती है। शायद इसे बाद के संस्करणों में साफ कर दिया गया है।

मुझे चार मीटर में से एक से कोड सेटिंग स्निपेट नीचे पता चला। और मैंने लाइनों के नीचे जोड़ा। लेकिन जब मैं एप्लिकेशन में लॉग इन करने से पहले और बाद में सत्र आईडी मुद्रित करता हूं तो यह वही होता है। मैं सत्र निर्धारण का परीक्षण कैसे करूं?

1. डी: \ jboss-5.1.0.GA \ bin \ run.cof फ़ाइल और नीचे पंक्ति जोड़ें। "JAVA_OPTS =% JAVA_OPTS% -Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = false"

सेट करें

2. jboss अनुप्रयोगों के प्रत्येक संदर्भ.एक्सएमएल में। डी: \ jboss-5.1.0.GA \ सर्वर \ डिफ़ॉल्ट \ तैनाती \ jbossweb.sar \ context.xml