tomcat配置禁止url显示jsessionid

最新推荐文章于 2020-12-15 20:03:18 发布
原创 最新推荐文章于 2020-12-15 20:03:18 发布 · 830 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍如何在Tomcat 6.0和7.0中通过配置禁用URL重写和基于URL的会话跟踪,以提高应用的安全性和性能。此外,还介绍了在Tomcat 7中更改jsessionid的方法。
 
 

It is possible to do this in Tomcat 6.0 with: disableURLRewriting

http://tomcat.apache.org/tomcat-6.0-doc/config/context.html

e.g.

写道
<
Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">

</Context>

 

 

<session-config>
  <tracking-mode>COOKIE</tracking-mode>
</session-config>


Tomcat 7 supports the above config in your web-app web.xml, which disables URL-based sessions.

 

tomcat7还可以配置来改变jsessionid来保证服务器安全:http://tomyz0223.iteye.com/blog/811237

 

 

中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现
网络空间安全学习
10-20 2277
服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现 1、中间件-IIS-短文件&解析&蓝屏等 2、中间件-Nginx-文件解析&命令执行等 3、中间件-Apache-RCE&目录遍历&文件解析等 4、中间件-Tomcat-弱口令&文件上传&文件包含等 漏洞复现
基于Apache做为Tomcat前端的架构实现反向代理&&负载均衡
Celeste7777的博客
10-24 3232
一、连接器介绍 1、Tomcat连接器架构 基于Apache做为Tomcat前端的架构来讲,Apache通过mod_jk、mod_jk2或mod_proxy模块与后端的Tomcat进行数据交换。而对Tomcat来说,每个Web容器实例都有一个Java语言开发的连接器模块组件,在Tomcat6中,这个连接器是org.apache.catalina.Connector类。这个类的构造器可以构造两种类
Tomcat如何禁用session
f365420465的博客
08-07 1165
有时候我们不需要用到session,而session在tomcat中是属于关键功能,它在启动的时候会自动创建,这样就会消耗一定的内存空间,如果访问量大了session就会产生很多。这样也不利于我们进行分布扩展。 JSESSIONID的产生机制 tomcat只有在程序中使用了 xxx.getSession() 的时候才会创建session(JSESSIONID是它的标识),其他任何时候都不会主动去创建。 这个时候有人问了,我的程序里明确没有调用 xxx.getSession(),为什么还会创建ses.
[转] Tomcat 禁用URL中的JSESSIONID
weixin_30700977的博客
05-15 642
[From]http://stackoverflow.com/questions/962729/is-it-possible-to-disable-jsessionid-in-tomcat-servlet [From] https://fralef.me/tomcat-disable-jsessionid-in-url.html Tomcat 6 (pre 6.0.30) You c...
为什么拦截器把正常请求也拦截了_过滤器 和 拦截器的 6个区别,别再傻傻分不清了
weixin_39731271的博客
11-24 1702
周末有个小伙伴加我微信,向我请教了一个问题:老哥,「过滤器 (Filter) 和 拦截器 (Interceptor) 有啥区别啊?」 听到题目我的第一感觉就是:「简单」!毕竟这两种工具开发中用到的频率都相当高,应用起来也是比较简单的,可当我准备回复他的时候,竟然不知道从哪说起,支支吾吾了半天,场面炒鸡尴尬有木有,工作这么久一个基础问题答成这样,丢了大人了。 平时觉得简单的知识点,但通常都不会太关注...
怎样让tomcat不自动生成JSESSIONID
密斯特大白
09-16 5463
最近玩jsp用tomcat作为服务器,结果每次tomcat都 在cookie里自动创建了sessionid ,那么怎么才能让tomcat不自动创建sessionid,让cookie更加简洁呢?其实方法很简单,只要在第一次访问jsp的页面上加上这么一句  ,就行了。下面给出例子: info.jsp:  Cookie nc = new Cookie("info","ok"
tomcat配备禁止url显示jsessionid
weixin_33857679的博客
07-24 928
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat SSL配置终极指南】:一步到位的全面解析与最佳实践
[解决tomcat配置ssl错误的解决办法](https://linuxhint.com/wp-content/uploads/2018/10/21-9-1024x578.png) # 摘要 本文详细介绍了Tomcat服务器的SSL配置过程及其在保证网络安全方面的重要作用。首先概述了SSL和...
iframe嵌套页面中cookie会被禁用,java框架会自动加jsessionid拼接到url后导致会话id暴漏,该如何解决
最新发布
06-12
思路2:禁止URL重写。Tomcat等容器支持配置URL重写行为。我们可以配置容器不进行URL重写,这样即使客户端禁用了Cookie,服务器也不会在URL中添加jsessionid,但是这样会导致会话无法在禁用Cookie的客户端中继续...
Tomcat会话持久化实战】:配置与最佳实践,确保用户会话不丢失
接着,详细阐述了如何在Tomcat配置会话持久化,包括关键设置和高可用性配置策略。文章还讨论了在不同应用场景下的会话持久化策略选择,以及如何通过加密技术提高会话安全性并优化性能。此外,文章探讨了自定义会话...
tomcat 拦截指定url_手写一个迷你版的 Tomcat
weixin_39600510的博客
12-15 427
前言Write MyTomcat2.1 MyRequest2.2 MyResponse2.3 MyServlet2.4 ServletMapping 和 ServletMappingConfig2.5 MyTomcat2.6 Test MyTomcat《Netty 实现原理与源码解析 —— 精品合集》《Spring 实现原理与源码解析 —— 精品合集》《MyBatis 实现原理与源码解析 —— 精...
快速入门:两分钟带你从 0 开始手写一个Tomcat
12-10 329
前言 Tomcat,这只3脚猫,大学的时候就认识了,直到现在工作中,也常会和它打交道。这是一只神奇的猫,今天让我来抽象你,实现你! Tomcat是非常流行的Web Server,它还是一个满足Servlet规范的容器。那么想一想,Tomcat和我们的Web应用是什么关系? 从感性上来说,我们一般需要把Web应用打成WAR包部署到Tomcat中,在我们的Web应用中,我们要指明URL被哪个类的哪个方法所处理(不论是原始的Servlet开发,还是现在流行的Spring MVC都必须指明)。 由于我们的Web.
打工人也想有个属于自己的 Tomcat
Supreme_Sir的博客
12-11 318
上一篇文章 介绍了作为程序猿必备的 Tomcat 基础知识,这一篇咱们就来说说,如果我想自己写一个简易版的 Servlet 服务器应该怎么做? 一、实现思路 这个阶段我们要大致把任务进行一下拆分,以便于后面更好的去发现问题、分析问题、解决问题。那么现在静下心想想,Servlet 服务器最需要解决的问题是什么? 如何获取请求? 获取请求的方式可以选择 Socket,通过监听指定的服务器端口来拦截请求。 如何处理请求? 反射,肯定是需要用到反射的。项目启动时通过反射去吧 web 项目中的 Servlet
tomcat 拦截指定url_Tomcat不安全字符的处理
weixin_39710249的博客
12-15 1998
做项目的时候碰到一个问题,就是Tomcat在处理含有|,{,}的字符的Url时候,发现请求没有到达指定的Controller上面,而在Access_log中写入了get null null 400的错误信息,从网上也翻了几个资料最终确定是tomcat的一个问题(个人觉得也是一个缺陷)问题的由来Tomcat根据rfc的规范Url中不能有类似|,{,}等不安全字符串,但在实际的操作中有时为了数据完整性...
tomcat 下的虚拟目录 禁止通过url访问到文件列表
puzzel110的专栏
07-15 3298
tomcat配置了虚拟目录,发现通过url能够直接访问目录下的文件列表,而同事的却不能直接访问。解决方法: 将web.xml下的: 红色包括的“true”改成“false”即可
url中的jsessionid解释
qq_17257809的博客
07-12 812
(1)  这是一个保险措施  因为Session默认是需要Cookie支持的  但有些客户浏览器是关闭Cookie的  这个时候就需要在URL中指定服务器上的session标识,也就是5F4771183629C9834F8382E23BE13C4C  用一个方法(忘了方法的名字)处理URL串就可以得到这个东西  这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上
tomcat8 url特殊字符拦截导致支付宝支付通知回调失败
葱饼铺子
06-30 565
新开发了一个支付相关服务,集成支付宝支付,本地、测试环境测试都ok了,线上支付成功但是没有收到回调通知。 通过支付宝异步通知排查工具(https://opensupport.alipay.com/support/tools/cloudparse?ant_source=openmonitor)拿到通知信息,模拟请求,发现请求失败,报错日志: The valid characters are defined in RFC 7230 and RFC 3986 原因:线上采用了tomca版本为8.5.56,
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6535
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url中,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
Tomcat 7 的domain域名配置Tomcat 修改JSESSIONID
热门推荐
小单的博客专栏
03-21 1万+
应用场景:公司有站点 www.shanhy.com、tow.shanhy.com、three.shanhy.com ……,站点使用 SpringMVC + Shiro + Redis 来实现的 session 子域共享。 Shiro 中设定的domain cookieName 为 SHAREJSESSIONID。问题:1、Tomcat 再没有做任何特殊配置的情况下(默认下载包),其session的
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值