防止重复使用 jsessionid

Question

如果某些主体复制附加 jsessionid 示例 www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1 在其他浏览器上或同一浏览器中的新选项卡的 url，我如何防止重复使用 jsessionid。

应用程序基于 struts 1.1 构建，在 websphere 6.1 上运行

请帮助

Answer 1

您可以在 Websphere Application 6.1 中禁用 URL 重写（参见）。 http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html 。

Answer 2

WebSphere Application Server 通常不会强制执行任何 HTTP 会话访问授权。具有有效会话标识符的任何一方都可以访问任何会话。虽然会话标识符不太可能被猜测，但可以通过其他方式获取会话标识符。为了降低这种形式的攻击的风险，您应该考虑启用会话安全性。此设置配置于

服务器>服务器名称>网络容器>会话管理

选中标记为安全集成的框。完成此操作后，WebSphere Application Server 将跟踪哪个用户（由他们提供的 LTPA 凭证确定）拥有哪个会话，并确保只有该用户可以访问该会话。

您必须使用 WebSphere Application Server 提供的身份验证和授权机制才能完成这项工作。换句话说，您必须启用应用程序安全性并使用 JavaEE 安全角色。