在 HTTP 和 HTTPS 之间切换时，JSessionID 会被覆盖。怎么解决？

Question

我们遇到以下情况：

1. 转到 http://website/ 并单击 http://website/appX
   的链接 检查 cookie 是否显示带有 secure = NO 的 JSessionID。

2. 打开另一个浏览器窗口或选项卡，然后转到 https://website/ 并单击指向 https://website/appY 的链接。
   检查 cookie 是否显示 JSessionID 且 secure = YES。

3. 尝试与步骤 1 中创建的窗口/选项卡进行交互。我的会话已过期...

如果我们重复这些步骤，但在步骤 2 中使用 https://website/appX 而不是 https://website/appY，则 JSessionID cookie 仍保留为 Secure =不。

所有 cookie 都有 JSessionId，最后附加 jvmRoute。

--

我们正在使用：

Apache (2.2.3-43.el5_5.3) + mod_jk（带粘性会话）和配置到多个 JBoss 实例的负载均衡器（v 4.3.0）。

我只找到了一个具有完全相同问题的链接（通常其他链接都使用 PHP）： http://thirdbit.net/mail-archive/tomcat-users/msg17687.html

问：如何防止 JSessionId cookie 被重写？

Answer 1

从安全角度来看，这是正确的行为，因为如果在 http 中也使用相同的会话 id/cooki，则攻击者可以窃取 https 中使用的会话 id/cooki。

有关更多详细信息，请参阅我的答案

因此，如果您想构建一个安全的应用程序（我希望如此，因为您使用 https），那么您一定不要更改它！

Answer 2

从 HTTPS 切换到 HTTP 时，SessionID/Cookie 将不会被保留，反之亦然。您可以在 URL 中传递这些参数来传递值。

Answer 3

在deploy/jboss-web.deployer/server.xml中的连接器配置（对于JBoss中的Tomcat捆绑版本）中，有一个emptySessionPath属性控制是否在上下文路径上设置会话cookie 。

<Connector port="8080" address="${jboss.bind.address}"    
     maxThreads="250" maxHttpHeaderSize="8192"
     emptySessionPath="true" protocol="HTTP/1.1"
     enableLookups="false" redirectPort="8443" acceptCount="100"
     connectionTimeout="20000" disableUploadTimeout="true" /> 

如果将此设置为 false，则每个应用程序将拥有一个 cookie，从而防止问题发生。