Tomcat - Disable JSESSIONID in URL

最新推荐文章于 2023-08-21 16:51:29 发布
转载 最新推荐文章于 2023-08-21 16:51:29 发布 · 3.6k 阅读 · 0

本文介绍如何在Tomcat中禁用URL重写,避免敏感的JSESSIONID出现在URL中。提供了三种方法:修改context.xml文件中的'disableURLRewriting'属性;使用过滤器如Tuckey进行URL重写;升级到Tomcat7并利用Servlet3.0标准特性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://fralef.me/tomcat-disable-jsessionid-in-url.html

http://stackoverflow.com/questions/5276634/remove-jsessionid-in-url-rewrite-in-spring-mvc/5276689#5276689

I had a problem with a Java webapp that works within a Tomcat 6 container.

In fact when you block sites from setting any data inside your browser, Tomcat 6 rewrites the URL and add a JSESSIONID parameter in it. URL session IDs are sensible informations that shouldn't be transmitted via GET method for security concerns. It may also have a bad impact on SEO. Because sessionid is unique, multiple visits by the same search bot will return identical content with different URLs.

https://webapp.com/index.jsp;jsessionid=557206C363F1267A24AB769CA0DE4529.node01

Security is a major concern for our customers, and JSESSIONIDs appearing in the URLs freak them out (especially when they demonstrate that you can get a URL from the app, email it to someone else, and have that person magically bypass authentication and assume the role of the other user - of course as long as the session is still valid).

The thing is that URL-based session tracking is intended for web clients that do not support session cookies. Every browser worth mentioning supports these cookies, and almost nobody surfs with them disabled. Moreover we are comfortable saying that in order to use our application you need to have cookies enabled, so I'm making the assumption that if we disable the feature of putting JSESSIONID into the URLs cookie-based session setting/tracking will still function just as we expect it.

You have multiple solutions to disable URL rewriting :

1. 'disableURLRewriting' attribute

In Tomcat 6, you can disable URL rewriting by setting 'disableURLRewriting' attribute to true in your context.xml.

<?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>

For this you have to make sure that attribute "cookies" in not set to false. This is the default.

Attribute "cookies"
Set to true if you want cookies to be used for session identifier communication if supported by the client (this is the default). Set to false if you want to disable the use of cookies for session identifier communication, and rely only on URL rewriting by the application.
Attribute "disableURLRewriting"
Set to true to disable support for using URL rewriting to track session IDs for clients of this Context. URL rewriting is an optional component of the servlet 2.5 specification but disabling URL rewriting will result in non-compliant behaviour since the specification requires that there must be a way to retain sessions if the client doesn't allow session cookies. If not specified, the specification compliant default value of false will be used.

2. "Servlet Filter"

You can use a servlet filter such as Tuckey which allow you to rewrite URLs before they get to your code.

Hide jsessionid for requests from googlebot.

<outbound-rule>
     <name>Strip URL Session ID's</name>
     <note>
         Strip ;jsession=XXX from urls passed through response.encodeURL().
         The characters ? and # are the only things we can use to find out where the jsessionid ends.
         The expression in 'from' below contains three capture groups, the last two being optional.
             1, everything before ;jesessionid
             2, everything after ;jesessionid=XXX starting with a ? (to get the query string) up to #
             3, everything ;jesessionid=XXX and optionally ?XXX starting with a # (to get the target)
         eg,
         from index.jsp;jsessionid=sss?qqq to index.jsp?qqq
         from index.jsp;jsessionid=sss?qqq#ttt to index.jsp?qqq#ttt
         from index.jsp;jsessionid=asdasdasdsadsadasd#dfds - index.jsp#dfds
         from u.jsp;jsessionid=wert.hg - u.jsp
         from /;jsessionid=tyu - /
     </note>
     <condition name="user-agent">googlebot</condition>
     <from>^(.*?)(?:\;jsessionid=[^\?#]*)?(\?[^#]*)?(#.*)?$</from>
     <to>$1$2$3</to>
 </outbound-rule>

3. Switch to Tomcat 7 !

The Servlet 3.0 standard gives you two ways to disable URL session rewriting. This works in Tomcat 7, Glassfish v3, and any other Servlet 3.0-compliant servlet container. First, you can add this to your web.xml webapp config:

<session-config>
     <tracking-mode>COOKIE</tracking-mode>
</session-config>

Or programmatically, you can use:

servletContext.setSessionTrackingModes(EnumSet.of(SessionTrackingMode.COOKIE));
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8304
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
网安工具系列(仅供参考):学习笔记-nuclei
weixin_54626591的博客
04-17 342
学习笔记-nuclei
tomcat配备禁止url显示jsessionid
weixin_33857679的博客
07-24 917
2019独角兽企业重金招聘Python工程师标准>>> ...
[转] Tomcat 禁用URL中的JSESSIONID
weixin_30700977的博客
05-15 626
[From]http://stackoverflow.com/questions/962729/is-it-possible-to-disable-jsessionid-in-tomcat-servlet [From] https://fralef.me/tomcat-disable-jsessionid-in-url.html Tomcat 6 (pre 6.0.30) You c...
tomcat urlrewrite 去掉jsessionid
tda7088
03-03 617
tomcat urlrewrite时,url地址栏中出现了jsessionid,这对于seo是不友好的,于是上网找了一些资料。 http://tuckey.org/urlrewrite/manual/3.0/urlrewrite-conf-overview-sample.html [quote] Outbound Rule 1 Outbound URL's matching ...
jsessionid 如何去掉
weixin_34168880的博客
09-19 1335
2019独角兽企业重金招聘Python工程师标准>>> ...
2-MD5-加盐校验-自定义密码校验-rest密码校验-客户端登录具体参数
HealerJean梦想博客
03-11 4211
2-MD5-加盐校验-自定义密码校验-rest密码校验-客户端登录
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 2807
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 4795
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
tomcat修改jsessionid在cookie中的名称
04-14
tomcat修改jsessionid在cookie中的名称
Apache Shiro去掉URL中的JSESSIONID
热门推荐
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
url中的jsessionid解释
autoinspired的专栏
12-25 1374
(1)这是一个保险措施 因为Session默认是需要Cookie支持的 但有些客户浏览器是关闭Cookie的 这个时候就需要在URL中指定服务器上的session标识,也就是5F4771183629C9834F8382E23BE13C4C 用一个方法(忘了方法的名字)处理URL串就可以得到这个东西 这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上去 (2)链接
关于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数原理和使用...
11-04 239
关于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数 关于session和cookie参考: http://www.blogjava.net/freeman1984/archive/2011/09/02/357833.html http://www.blogjava.net/freeman1...
Tomcat自动生成会话JSESSIONID
m0_37695902的博客
08-11 4675
一、request.getSession(true)和request.getSession(false)的区别 request.getSession(true):若存在会话则返回该会话,否则新建一个会话,默认为true; request.getSession(false):若存在会话则返回该会话,否则返回NULL; 当向Session中存放登录信息时,一般建议:HttpSessio...
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6475
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url中,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
修改Tomcat6默認的sesssionid名JSESSIONID
摩西的博客 爱it 爱生活 爱折腾
12-09 3098
開源就是好,看代碼輕鬆解決問題 /tomcat-6.0.x/java/org/apache/catalina/Globals.java 1 /** 2  * The name of the cookie used to pass the session identifier back
./configure \ --prefix=host \ --disable-ffmpeg \ --disable-ffprobe \ --disable-ffplay \ --disable-programs \ --disable-symver \ --disable-doc \ --disable-htmlpages \ --disable-manpages \ --disable-podpages \ --disable-txtpages \ --disable-avresample \ --disable-avfilter \ --disable-avdevice \ --disable-postproc \ --enable-swscale \ --enable-swresample \ --enable-avcodec \ --enable-avformat \ --enable-small \ --enable-cross-compile \ --arch=arm \ --target-os=linux \ --cross-prefix=arm-linux-gnueabihf- \ --enable-shared \ --disable-gpl \ --enable-nonfree \ --enable-openssl \ --enable-pthreads \ --enable-error-resilience \ --enable-debug \ --disable-encoders \ --disable-hwaccels \ --disable-muxers \ --disable-indevs \ --disable-outdevs \ --disable-devices \ --disable-filters \ --disable-decoder=ssh264_ss268 \ --disable-decoder=sshevc_ss268 \ --shlibdir=host/dynamic \ --libdir=host/static \ --pkg-config=pkg-config \ --extra-cflags="${cflags} -g -rdynamic -funwind-tables -ffunction-sections" \ --extra-ldflags="${ldflags}" 说一下上面的命令是什么意思
最新发布
03-11
<think>好的,我需要解释用户提供的这个复杂的./configure命令。首先,我要分步骤解析每个参数的作用,确保理解正确。用户可能是在交叉编译FFmpeg,针对ARM架构的Linux系统,所以重点参数如--arch=arm和--cross-prefix需要注意。 接下来,检查每个禁用和启用的选项。例如,--disable-ffmpeg等是关闭不必要的程序,而--enable-swresample是启用必要的库。需要确认这些模块的作用,避免误解。比如,avcodec和avformat是核心库,必须启用。 然后,处理许可证相关的选项,如--disable-gpl和--enable-nonfree,这可能涉及法律问题,需要正确说明。另外,路径设置如--prefix=host和--shlibdir会影响安装位置,要解释清楚。 还要注意编译选项,如extra-cflags中的调试符号,说明这是为了调试目的。同时,交叉编译的相关参数需要明确解释其作用,比如交叉工具链的前缀。 需要确保回答结构清晰,分点说明每个部分的用途,帮助用户理解整个配置的目的。可能用户是想优化FFmpeg的编译,去除不必要的组件,专注于特定功能。因此,要强调各个禁用选项如何减少体积和依赖,以及启用的功能如何支持他们的目标平台。 最后,总结整个命令的目标,确保用户明白这是为ARM Linux生成一个精简且调试友好的FFmpeg库,适用于嵌入式环境。检查是否有可能的错误,比如重复的禁用选项或拼写错误,确保解释准确。</think>这是一个典型的FFmpeg库交叉编译配置命令,主要用于为ARM架构的Linux系统生成精简的媒体处理库。参数解析如下: --- ### **基础配置** 1. `--prefix=host` 指定安装目录为当前路径下的`host`文件夹 2. `--enable-cross-compile` 启用交叉编译(为目标平台生成代码) 3. `--arch=arm --target-os=linux` 目标平台为ARM架构的Linux系统 4. `--cross-prefix=arm-linux-gnueabihf-` 指定交叉编译工具链前缀(如使用`arm-linux-gnueabihf-gcc`) --- ### **功能裁剪** 1. **禁用工具集** ``` --disable-ffmpeg \ --disable-ffprobe \ --disable-ffplay \ --disable-programs ``` 关闭所有可执行程序的编译 2. **文档与符号** ``` --disable-symver \ --disable-doc \ --disable-htmlpages \ --disable-manpages \ --disable-podpages \ --disable-txtpages ``` 移除版本符号、所有文档 3. **模块精简** ``` --disable-avresample \ --disable-avfilter \ --disable-avdevice \ --disable-postproc \ --disable-hwaccels \ --disable-muxers \ --disable-indevs \ --disable-outdevs \ --disable-devices \ --disable-filters ``` 仅保留核心编解码、封装格式处理功能 --- ### **核心功能启用** 1. **关键组件** ``` --enable-swscale \ --enable-swresample \ --enable-avcodec \ --enable-avformat ``` 保留视频缩放、音频重采样、编解码器、媒体格式处理 2. **调试支持** ``` --enable-debug \ --extra-cflags="... -g -rdynamic -funwind-tables -ffunction-sections" ``` 添加调试符号和回溯支持 --- ### **编译优化** 1. `--enable-small` 启用空间优化(减少代码体积) 2. `--enable-shared` 生成动态链接库(.so文件) 3. `--libdir=host/static --shlibdir=host/dynamic` 静态库和动态库分别存放路径 --- ### **安全与许可** 1. `--disable-gpl --enable-nonfree` 禁用GPL协议代码,允许闭源组件 2. `--enable-openssl` 启用HTTPS协议支持 3. `--enable-pthreads` 启用多线程支持 --- ### **特殊处理** 1. `--disable-decoder=ssh264_ss268` 显式禁用特定解码器(可能涉及专利问题) 2. `--pkg-config=pkg-config` 指定使用系统的pkg-config工具 --- ### **总结** 该配置目标是: ✅ 为ARM-Linux生成精简的FFmpeg核心库 ✅ 支持动态/静态库分离存放 ✅ 包含调试信息便于问题追踪 ✅ 规避GPL协议限制 ❌ 移除了所有非必要组件(工具/硬件加速/输入输出设备等) 适用于嵌入式场景下的基础媒体处理需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值