解决重定向URL中出现sessionID的情况localhost:8080/index;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4

最新推荐文章于 2024-03-21 10:32:55 发布
最新推荐文章于 2024-03-21 10:32:55 发布
阅读量506 收藏 7
点赞数 6
文章标签: java 重定向 jsessionid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q707929772/article/details/136836959
版权

一.解决方法

 /**
     * 注入 securityManager
     */
    @Bean
    public SecurityManager securityManager(@Qualifier("myShiroRealm") ShiroDbRealm myShiroRealm,@Qualifier("webSessionManager") DefaultWebSessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置自定义 realm.
        securityManager.setRealm(myShiroRealm);
        securityManager.setSessionManager(sessionManager);
        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);
        return securityManager;
    }

    /**
     * 解决shiro的URL中出现sessionID的情况
     * EG: localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
     * https://blog.csdn.net/java_cpp_/article/details/124256865
     * @return
     */
    @Bean
    @Qualifier("webSessionManager")
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultWebSessionManager;
    }

二.复现场景

项目中用到一个免密登录的场景,该场景为,根据传递过来的用户名密码以及指定的url登录沿海新增成功后进行跳转,跳转过程中重定向到index路径中,然而出现了下面的场景:

即URL中莫名出现了一个jsessionid,链接跳转变成了400,导致重定向失败。

仔细观察上一个链接,即免密登录链接会发现在Location中存在此链接了,也有对用的jsessionid。

所以想办法解决掉这个jsessionid即可,即为步骤一的操作。

三.原理

1、当访问localhost:8080/,测试shiro进行拦截发现还没登录,则shiro则会在内部进行一个重定向到localhost:8080/toLogin
2、但是server服务器并不知道是shiro的重定向,重定向的请求中没有session、cookie等信息,服务器就会以为是客户端禁用了该功能,所以服务器就自动为其分配一个sessionid
3、所以响应到客户端的url就被添加上了sessionid

或可参考:地址栏JSESSIONID问题-CSDN博客

千军辟易
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
然而,在某些情况下,Cookie 的路径属性可能会泄露项目路径,导致安全风险。本文将介绍如何解决 Cookie 路径属性暴露问题。 Cookie 路径属性的危险 在服务器的项目,如果 Cookie 的路径属性没有被正确...
域名重定向session丢失、cookie丢失
weixin_33709590的博客
10-24 754
首先说明一下原委: 需要开通的网址是www.qzhlqh.com,但是因为没备案所以审核不通过,,不过虚拟主机系统自动绑定了一个域名l22.xm10.host.35.com,所以只能把网站放到l22.xm10.host.35.com下,之后用www.qzhlqh.com重定向到l22.xm10.host.35.com。。。。。。。。。。。 其实登录后台管理的原理就是判断服务端是不是存在程序...
shiro整合单点登录,setLoginUrl重定向地址会携带JSESSIONID的问题
weixin_43165220的博客
03-05 3396
今天遇到一个问题,在springboot+shiro整合的项目,单点登录,当登录过期时使用setLoginUrl 设置重定向地址,然后这个地址返回一个登录过期请重新登录的提示给前端,然后前端控制页面跳转到登录页面。 问题就出在重定向的时候,setLoginUrl 设置的地址总是会携带JSESSIONID,就一直报302错误 具体情况如下: ShiroConfig配置类 //省略其他配置 /** * Shiro基础配置 */ @Bean public ShiroFilterFactoryBean sh
解决shiro第一次重定向url会带上JSESSIONID的问题
superyu1992的专栏
03-08 471
设置sessionManager的SessionIdUrlRewritingEnabled设置成false,第一次重定向url上面就不会带有JSESSIONID了。这是个小问题,不过因为好久没发布博客了,所以上来发一篇,说明I am still coding!
spring项目解决静态url自动拼接;jsession的问题
kitahiragawa的博客
07-07 1478
转载自https://my.oschina.net/wangnian/blog/648022 1.jsessionid是什么? Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了 2.那么有什么问题? 首先这是一个保险措施 因为Session默认是需要Cookie支持的,但有些客户浏览器是关闭Cookie的,所以在这个时候就需要在URL指定服务器上的session标识,也就是EDE802AB96CD1E0CA2AFB3
servlet的cookie和session
sinat_42759524的博客
09-19 287
http://localhost:8080/s1?name=zhangsan http://localhost:8080/s2?name=zhangsan http://localhost:8080/1.jsp?name=zhangsan http协议的特点:称之为无状态, 请求与请求之间不会记录状态(状态就包括请求参数等信息) 1. Cookie 本意是小甜点, 可以用来记录多个请...
JSESSIONIDSESSION、cookie
weixin_45682070的博客
07-06 1220
所谓session可以这样理解:当与服务端进行会话时,比如说登陆成功后,服务端会为用户开壁一块内存区间,用以存放用户这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcatsession id的叫法,在其它容器里面,不一定就是叫jsessionid了。),而这个内存区间你可...
jsessionid存在的问题及其解决方案
03-16
2. **SEO不友好**:搜索引擎爬虫可能会因URL的`jsessionid`而遇到问题,因为它可能会导致重复内容的出现,影响网站的搜索引擎排名。 3. **性能**:每次请求都要携带`jsessionid`,可能导致HTTP头信息过大,影响...
CVE-2020-9484
04-13
CVE-2020-9484(Tomcat) 仅用于教育目的。 有关详细信息,请参见参考。跑步$ git clone ... JSESSIONID=../../../../../usr/local/tomcat/groovy'查看$ docker exec -it $CONTAINER /bin/sh$ ls /tmp/rce
微信小程序开发-保存服务端sessionid的方法
03-29
普通的Web开发,都是把sessionid保存在cookie传递的。 不管是java还是php,服务端的会在response的header加上Set-Cookie   Response Headers Content-Type:application/json;charset=UTF-8 Date:Mon, 02 Apr ...
IFrameSession丢失的解决办法
06-06
在探讨“IFrameSession丢失的解决办法”这一主题时,我们首先需要理解Session与IFrame的基本概念及其在Web开发的交互方式。Session是Web应用用于存储用户特定信息的一种机制,它允许开发者在用户的会话期间...
ajax url传递session,前端后分离Ajax跨域请求保证Session一致
weixin_39522170的博客
08-05 347
前后端分离的项目,使用Ajax请求一般都出现跨域的问题。跨域的时候所创建的session是不会被浏览器保存下来的。所以每次进行跨域请求时,服务器都认为不是同一个浏览器所发起的请求,session也会不一样。以下将介绍如何保证session一致。前端Ajax请求$.ajax({url:url,xhrFields: {withCredentials: true},crossDomain: true,s...
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6153
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
sessionsessionid,cookie之间的关系解析
weixin_41657954的博客
01-11 2551
sessionsessionid,cookie之间的关系解析 文章目录sessionsessionid,cookie之间的关系解析1.简介2.session和cookie定义,创建,周期和联系2.1cookie2.2session3.如果禁用cookie后,如何解决账号身份识别?4.session和cookie的关系 1.简介 网上有很多关于他们的文章,我这里以我自己的理解来写这篇文章。 session,cookie这个关系弄明白了,对你开发后端收益匪浅。 下面我将以解释他们是什么,彼此之间有什么联系,
jsessionid所引起的问题 和解决
12-13 5946
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
解决urljsessionid问题(springboot版)
thankna的博客
10-21 5667
1.问题背景: 我的项目不使用cookie,使用sessionStorage,走前后端分离路线,但是有一个机能用的thymeleaf继承以前的项目。 vue访问springboot时shiro+jwt+redis,没有问题。 thymeleaf访问springboot时shiro拦截了在jsessionidurl,导致css样式请求报400,返回画面没有样式。 2.解决方案 从CSDN上检索到的去掉jsessionid都是springmvc版的,追加过滤器解决,过滤器注册在web.xml。 我
重定向sessionid不一致
12-30 8277
  @RequestMapping("/xxxx") public String index(String code, HttpServletRequest request,HttpServletResponse response) { try { HttpSession session = request.getSession(); Cookie ...
纯python实现获取sessionid(无需注入)
最新发布
gefeixun的博客
03-21 1668
使用纯python实现获取sessionid(无需注入),只用到一个第三方库,可以通过pip安装,不需要其他额外的环境
关于Tomcat返回URL出现jsessionId
weixin_45599400的博客
06-09 322
去掉java项目URL地址栏后面的";JEESESSIONID="
Server returned HTTP response code: 400 for URL: http://localhost:8089/index.html;jsessionid=16DF75ACC6350C4A8F57EBEE88E16B6C 怎么处理
06-13
出现了 400 错误,这通常是由于客户端发送了一个无效的请求导致的。 `jsessionid` 是 JavaWeb 应用程序用于标识用户会话的一种机制,可能是因为你在请求 `http://localhost:8089/index.html` 时带上了 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值