jsessionid问题解决方案

最新推荐文章于 2025-06-29 20:07:33 发布
最新推荐文章于 2025-06-29 20:07:33 发布
阅读量3k 收藏
点赞数
本文介绍了一种针对jessionid会话盗用的防护措施,通过验证会话ID来源及用户IP一致性来确保安全性。当会话ID来自URL而非Cookie时,将重定向到403页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bigdatafish 2016-11-24 17:31

jsessionid问题解决方案

jessionid会话盗用漏洞,现在是两种方案:

1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP ,

2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。

代码如下:

package com.tydic.dbp.util;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class AuthFilter implements Filter {

private static final Logger LOGGER = LoggerFactory

.getLogger(AuthFilter.class);

public void destroy() {

}

public void doFilter(ServletRequest servletRequest,

ServletResponse servletResponse, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

String uri = request.getRequestURI();

String url = request.getRequestURL().toString();

HttpSession session = request.getSession();

String ip = IpUtils.getIpAddr(request);

Object user = session.getAttribute("tydic.dbp.user");

Object sessionIP = session.getAttribute("ip");

// SSO 放行资源是获取不到SESSION信息的,注意

String[] six = { ".swf", ".js", ".css", ".gif", ".png", ".jpg",

"/service", "dbp.jsp" };

for (String key : six) {

if (uri.indexOf(key) > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

}

// System.out.println("************uri" + uri);

// System.out.println("************url: " + url);

// System.out.println("************user" + user);

if (request.isRequestedSessionIdFromURL()) {

response.sendRedirect("http://134.64.106.187:8000/portal/webpoint/main/403.jsp");

return;

/*if (session != null) {

session.invalidate();

}*/

}

LOGGER.info("************sessionIp: " + sessionIP);

LOGGER.info("************clinetIp: " + ip);

if ((user == null) || (sessionIP == null) || (!(ip.equals(sessionIP)))) {

LOGGER.info(" ***************** error sendRedirect ");

response.sendRedirect("http://154.64.116.187:8000/portal/webpoint/main/403.jsp");

return;

} else {

chain.doFilter(servletRequest, servletResponse);

return ;

}

}

public void init(FilterConfig filterConfig) throws ServletException {

}

u011277123
关注
若依请求url中带有jsessionid的解决办法
猿小白的博客
07-05 1399
目录一、原因分析 二、解决方案1、首先定义一个Filter过滤器RemoveUrlJsessionIdFilter2、然后在Springboot启动类上加上@ServletComponentScan 2、然后在Springboot启动类上加上@ServletComponentScan
jsessionid详细讲解
技术空间站
07-11 2156
jsessionid=CA72488F94BC8A3E92FEEDA8CC736FDC这个jsessionid是session的一个标识。我在这里转贴jdbc老大的部分讲解session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
jsessionid所引起的问题 和解决
12-13 6041
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
JSESSIONID Session Cookie
最新发布
2301_80096362的博客
06-29 732
JSESSIONID是 Java Web 应用(如基于 Tomcat、Spring 的服务)用于跟踪用户会话(Session)的,通常以的形式存储在浏览器中。它的核心作用是实现服务器端的会话管理(Session Management),确保用户在不同请求间保持状态。ABC123JSESSIONIDSet-Cookie当用户首次访问网站时,服务器(如 Tomcat)会自动创建一个 Session 并生成JSESSIONID
?jsessionid 的解决方法
guanry的博客
12-14 635
服务器使用 Nutch + tomcat  处理加入购物车处理是,链接后面 加上了?jessionid ,服务器返回 404 错误,查询后发现原来是 tomcat 服务器加入cookie支持导致, 解决方案: 模拟coocie ;   Cookie cookie = new Cookie("jsessionid", "1700159178"); cookie.setMaxAge(In...
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1429
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ <body> <form action="SessionTestServlet" method="post"> 用户...
CAS单点登陆,URL多出个参数jsessionid导致登陆失败问题
angjiu8534的博客
02-09 1395
目录: 1.定位问题 2.问题产生的原因 3.解决问题 一 定位问题   首先,如下图所示:输入到地址栏的地址被302重定向到单点登录地址,地址由Response Headers中的参数Location所指定,勾选Preserve log,保存跳转之前的请求轨迹。   接下来,如下图所示:浏览器访问带 ?service=*** 的单点登录地址来请求登录页,在返回的R...
shiro 重定向携带 JSESSIONID 问题解决
qq_29411043的博客
06-25 5060
shiro 请求头携带错误的 token 的问题
解决JSESSIONID问题的方法与工具
接下来,我们将详细探讨jsessionid存在的问题及其解决方案。 ### JSESSIONID 概念 首先,了解什么是jsessionid是必要的。JSESSIONID是在Java Web应用中,为了标识用户的会话而生成的一个唯一ID。它通常由服务器...
CASClient集群环境的Session问题解决方案.docx
10-26
CASClient 集群环境的 Session 问题解决方案 本文将详细介绍 CASClient 集群环境中的 Session 问题解决方案。CASClient 是一种开源的单点登录系统,能够提供统一的登录和注销机制。但是在集群环境中应用 CAS...
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
js加密破解
weixin_45926804的博客
11-30 1197
某站的登入加密破解 目标网址:https://passport.bilibili.com/login?spm_id_from=333.851.b_696e7465726e6174696f6e616c486561646572.11 一、登入 F12打开调试 输入账号、密码、滑动滑块、点击登入 进入XHR开始寻找登入需要的字段,上图有 二、寻找加密位置 1、全局搜索加密字段password或者pas...
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6780
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
Allaire JRun “JSessionID” 信息泄露漏洞
ncnynl的专栏
09-01 1456
Allaire JRun “JSessionID” 信息泄露漏洞 发布日期: 2001-12-6受影响的系统:  Allaire JRun 3.0   - IBM AIX 4.2   - IBM AIX 4.3   - Microsoft Windows 95   - Microsoft Windows 98   - Microsoft Windows 2000   -
Shiro去掉登录时url里的JSESSIONID,允许分号 中文参数
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
07-29 1269
Shiro升级1.8之后默认不允许中文参数,以及分号(;)参数,导致系统首次打开时,因带有;JSESSIONID=参数,系统出现400错误页面。
JSESSIONID的简单说明
u014712365的博客
11-17 1350
1)第一次访问服务器的时候,会在响应头里面看到Set-Cookie信息(只有在首次访问服务器的时候才会在响应头中出现该信息) 。 上面的图JSESSIONID=ghco9xdnaco31gmafukxchph;Path=/acr, 浏览器会根据响应头的set-cookie信息设置浏览器的cookie并保存之 注意此cookie由于没有设置cookie有效日期,所以在关闭浏览器的情况下会丢失掉这个...
登陆后,地址栏中有sessionid
wangjun5159的专栏
05-04 5983
情景登陆后,地址栏偶尔会出现sessionid,这是为什么呢? 解释为什么会出现?根本原因是服务器对url进行了地址重写; 分析过程 第一次登陆请求时,请求头中没有cookie,服务器端会以为客户端禁用了cookie,再者由于是302重定向,需要返回新地址,所以会对地址进行重写,重写后的地址都会带着sessionid。 我们可以通过curl模拟请求来查看, 为什么偶尔出现,出现的次数不多?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值