जेबॉस में सत्र निर्धारण को हल करना

जावा वेब एप्लिकेशन में मुझे सत्र निर्धारण , एक विशेष प्रकार का सत्र अपहरण रोकने की आवश्यकता है जेबॉस में चल रहा है। हालांकि, ऐसा प्रतीत होता है कि मानक मुहावरे जेबॉस में काम नहीं करता । क्या यह चारों ओर काम किया जा सकता है?

0
ro fr bn

4 उत्तर

This defect (found here) points the way to the solution. The Tomcat instance that runs in JBoss is configured with emptySessionPath="true", rather than "false", which is the default. This can be modified in .../deploy/jboss-web.deployer/server.xml; both the HTTP and AJP connectors have this option.

सुविधा का उपयोग संदर्भ पथ को समाप्त करने के लिए किया जाता है (उदाहरण के लिए http://example.com/foo) JSESSIONID कुकी में शामिल होने से। इसे गलत पर सेट करने से उन अनुप्रयोगों को तोड़ दिया जाएगा जो क्रॉस-एप्लिकेशन प्रमाणीकरण पर भरोसा करते हैं, जिसमें कुछ पोर्टल ढांचे का उपयोग करके निर्मित सामग्री शामिल होती है। हालांकि, सवाल में आवेदन को नकारात्मक रूप से प्रभावित नहीं किया गया था।

0
जोड़ा
मैं जेबॉस 6.1 के साथ काम कर रहा हूं और बस इस मुद्दे को हिट करता हूं। मेरे server.xml में कोई खाली सत्रपैथ विकल्प नहीं है। तो, संस्करण 6.1 के लिए यह कैसे किया जा सकता है?
जोड़ा लेखक Zólyomi István, स्रोत
अगर कोई और दिलचस्पी लेता है, तो मुझे एक समाधान मिला। इस धागे में @ आरपी- के उत्तर की तलाश करें: stackoverflow.com/questions/11028145/…
जोड़ा लेखक Zólyomi István, स्रोत

सत्र में ग्राहक पते को स्टोर करना एक कामकाज है। एक प्रतिक्रिया रैपर को सत्र में सेट क्लाइंट एड्रेस को मान्य करना चाहिए, जो सत्र तक पहुंचने जैसा ही है।

0
जोड़ा
सत्र में अपहरण के लिए आपका सुझाव उपयोगी है, लेकिन विशेष रूप से सत्र निर्धारण को संबोधित नहीं करता है।
जोड़ा लेखक Warren Blanchet, स्रोत

यह समस्या और विशिष्ट मामला जिसमें यह होता है वह टॉमकैट के साथ-साथ जेबॉस में एक समस्या है। टॉमकैट खाली सत्रपैथ = "सच" प्रभाव साझा करता है (और वास्तव में जेबॉस इसे टॉमकैट से प्राप्त करता है)।

जब आप सत्र निर्धारण हमलों को रोकने की कोशिश कर रहे हैं तो यह वास्तव में टॉमकैट और जेबॉस में एक बग जैसा प्रतीत होता है लेकिन सर्वलेट स्पेक (कम से कम संस्करण 2.3) को वास्तव में किसी भी विशिष्ट तर्क के अनुसार JSESSIONID को परिभाषित या परिभाषित करने की आवश्यकता नहीं होती है। शायद इसे बाद के संस्करणों में साफ कर दिया गया है।

0
जोड़ा

मुझे चार मीटर में से एक से कोड सेटिंग स्निपेट नीचे पता चला। और मैंने लाइनों के नीचे जोड़ा। लेकिन जब मैं एप्लिकेशन में लॉग इन करने से पहले और बाद में सत्र आईडी मुद्रित करता हूं तो यह वही होता है। मैं सत्र निर्धारण का परीक्षण कैसे करूं?

  1. डी: \ jboss-5.1.0.GA \ bin \ run.cof फ़ाइल और नीचे पंक्ति जोड़ें। "JAVA_OPTS =% JAVA_OPTS% -Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = false"

  2. सेट करें
  3. jboss अनुप्रयोगों के प्रत्येक संदर्भ.एक्सएमएल में। डी: \ jboss-5.1.0.GA \ सर्वर \ डिफ़ॉल्ट \ तैनाती \ jbossweb.sar \ context.xml             

0
जोड़ा