强制更新JsessionID的方法

最新推荐文章于 2022-12-12 00:15:56 发布
最新推荐文章于 2022-12-12 00:15:56 发布
阅读量1.2k 收藏
点赞数
分类专栏: ★·········【JAVA】 文章标签: session
 
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。

/** 
 * 重置sessionid,原session中的数据自动转存到新session中 
 * @param request 
 */  
public static void reGenerateSessionId(HttpServletRequest request){  
      
    HttpSession session = request.getSession();  
      
    //首先将原session中的数据转移至一临时map中  
    Map<String,Object> tempMap = new HashMap();  
    Enumeration<String> sessionNames = session.getAttributeNames();  
    while(sessionNames.hasMoreElements()){  
        String sessionName = sessionNames.nextElement();  
        tempMap.put(sessionName, session.getAttribute(sessionName));  
    }  
      
    //注销原session,为的是重置sessionId  
    session.invalidate();  
      
    //将临时map中的数据转移至新session  
    session = request.getSession();  
    for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
        session.setAttribute(entry.getKey(), entry.getValue());  
    }  
}





 

Ryze丶
关注
专栏目录
跨站点请求伪造攻击 - Cross Site Request Forgery (CSRF)
悟已往之不谏,知来者之可追
01-17 230
最好理解CSRF攻击的方式是看一个具体的例子。假设你的银行网站提供一个表单,允许当前登录用户将钱转账到另一个银行账户。例如,转账表单可能如下所示:
python爬虫token_Python3使用Selenium获取session和token方法详解
weixin_35282782的博客
02-21 1890
一、背景说明之前写了一款简单的api模糊测试工具,之前系统可以使用http Base认证现在改成session形式并加上了token。最简单的改造方法,是自己先在浏览器手动登录,然后提取出session和token(系统token在整个会话期间可重复使用)填到模糊测试工具中即可。但这种非全自动化的方式不到万不得已不想用。最直接的方法,最使用requests按登录流程依次发包登录即可。但其中的难点是...
java web 登录后更新JSESSIONID
menghuanhuolong6的专栏
08-25 1203
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID方法  /**   * 重置sessionid,原session中的数据自动转存到新session中   * @param reques
登陆后sessionId一直更新
tcllxxl的博客
08-04 490
前端用的React,原因是fetch函数跨域设置 原文:https://www.cnblogs.com/wonyun/p/fetch_polyfill_timeout_jsonp_cookie_progress.html fetch option 添加一下属性: credentials: ‘include’, // include, *same-origin, omit
用户登录成功后重新获取Session
拿着键盘当钢琴的博客
04-15 6398
漏洞修复:Session会话登录前后无变化问题这个漏洞意思是说用户登录系统前后Session变化,就是JSESSIONID没有改变所以要在用户登录成功后在Filter(拦截器)或者登录Action里加入以下代码:HttpServletRequest request = ServletActionContext.getRequest(); //获取旧Session HttpSession sessi...
记一次ajax的JSESSIONID 变化解决、非跨域变化
wantnrun的专栏
07-07 4097
前言 某一天测试提了一个bug,系统进入到某个页面中后,出现登录失效,不管怎么样,只要进入这个页面再点击其他链接就会去到登录页面,测试环境没有问题。 开始解决 第一步:怀疑代码问题 因为测试环境没有任何问题,所以怀疑是代码本身的问题,于是在本地测试,发现本地没有问题,于是重新打包部署到正式服务器测试,发现还是出现异常。 第二步:确认为何会登录失效 因为代码和测试环境与本地都...
spring-boot 请求为什么会出现jsessionid=856DC0387CAE5FFCBD4B4A3810AFB646,请给出解决方法。或者代码
最新发布
06-13
`JSESSIONID` 是 JavaWeb 应用程序中用于标识用户会话的一种机制,... 这将强制使用 cookie 来存储会话 ID,并将 `HttpOnly` 标志设置为 `true`,以防止恶意脚本访问 cookie。 希望这些信息可以帮助你解决这个问题。
Android 自动检测版本并升级
後雪寒的专栏
12-23 2026
如何在应用启动时检查版本更新对应用进行升级,解决的方案有多种。本文将阐述利用Android 自带的DownloadManager进行下载apk文件,已经下载成功后自动安装。DownloadManager在后台下载文件时会有进度条的,所以省去了开发进度条的麻烦。思路:在AndroidManifest.xml文件中定义了versionCode以及versionName,称为旧的,如果使用AndroidS
java session id 生成_sessionid如何产生?由谁产生?保存在哪里?
weixin_42513928的博客
02-13 1589
面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionidsession在访问tomcat服务器HttpServletRequest的getSession(tr...
JSESSIONID两次请求不一致问题
代码改变世界
07-23 2762
目录前言情况一:Path设置情况二:跨域问题情况三:负载均衡-会话保持情况四:账号冲突 前言 出现这种情况问题无非就是:后端、前端,只要我们处理好前后端后,基本没有其他问题。 情况一:Path设置 当JSESSIONID设置的Path=/user/info.html页面时,你访问其他页面/account/info.html,JSESSIONID会发生变化,可以设置Path=/ 根目录下解决此问题。 情况二:跨域问题 import java.io.IOException; import javax.se
会话标识未更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
前后端分离登录逻辑实现方案
qq_55272229的博客
12-12 3203
我之前做前后端分离的项目的时候在想,第一次登录一个网站过后后续登录就可以直接访问太神奇了,后来熟练了发现是后端的过滤器和拦截器实现的, 最近在跟着视频组做项目时候我发现自己有点忘记了前端是怎么配合后端完成的,本文带5分钟过一遍登录状态的校验。
探索接口自动化(三)--如何处理需要登录后才能使用的业务接口测试(基于unittest)
weixin_56385300的博客
08-14 787
本次以更新用户信息接口为例,总结如何实现需要登录才可以使用的功能的接口脚本自动化。
Servlet 会话管理详解(HttpSession、Token和Cookie)
swadian2008的博客
03-01 2809
会话(session)是指用户与服务器之间的一种交互模式,也称为服务器端会话(server-side session)或会话状态(session state)。在 Web 开发中,会话可以在用户登录网站时创建,并在用户退出或超时时结束。在会话期间,服务器可以在不同的页面之间共享数据,并跟踪用户的行为。会话的实现通常使用 session ID 来标识一个会话。
session会话更新
z344310362的专栏
01-25 4165
安全检测会在登录前后检测登录session,没更新会提示。 解决方法:设置一个过滤器,指定到登录的url,每登录一次就更新session.
记一次sessionId登陆后变化问题
weixin_43275523的博客
11-03 455
由于是偶发情况,查找特别麻烦,经过一天的查找问题,终于定位到问题了,登陆页面有好几个字体路径是404,把样式内的字体删掉问题就解决了。系统用的spring+shiro+mybatis,偶尔登陆之后要么闪退,要么进去首页后又跳转到登陆页。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值