我需要防止在JBoss中运行的Java Web应用程序中的Session Fixation(一种特殊的 session 劫持)。但是,似乎标准成语doesn't work in JBoss。可以解决这个问题吗?
最佳答案
This defect(找到了here)为解决方案指明了道路。在JBoss中运行的Tomcat实例配置为emptySessionPath =“true”,而不是默认值为“false”。这可以在.../deploy/jboss-web.deployer/server.xml
中修改; HTTP和AJP连接器都具有此选项。
该功能本身用于消除上下文路径(例如http://example.com/foo中的“foo”),使其不包含在JSESSIONID cookie中。将其设置为false将破坏依赖于跨应用程序身份验证的应用程序,其中包括使用某些门户框架构建的内容。但是,它并没有负面影响所涉及的应用程序。