同域名下的多项目谨防sessionid互相影响,造成严重后果

最新推荐文章于 2023-03-25 16:29:33 发布
最新推荐文章于 2023-03-25 16:29:33 发布
阅读量6.5k 收藏 3
点赞数 5
分类专栏: Java application server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sl0007/article/details/17278629
版权

咱也上首页:


同域名下的多项目谨防sessionid互相影响,造成严重后果,保持咱程序猿的优良传统,独立的命名空间,严格的洁癖症,处事不惊的顽强能力。转入正题 已我开发cctv项目为例,当然cctv愿意找我,我是很乐意效劳的,哈哈!!不过我是无证程序猿,很可能去了也是临时工,好吧,我还是拿他做例子吐槽吧:

www.cctv.com/zhidao

www.cctv.com/news

这里将zhidao、news两个项目通过nginx整合到www.cctv.com的二级目录下,如果tomcat的配置是这样:


  <Context path="/zhidao" docBase="/zhidao.cctv.cn" sessionCookiePath="/"  sessionCookieDomain=".cctv.com"  reloadable="false" caseSensitive="false" crossContext="true">
         </Context>


  <Context path="/news" docBase="/news.cctv.cn" sessionCookiePath="/"  sessionCookieDomain=".cctv.com"  reloadable="false" caseSensitive="false" crossContext="true">
         </Context>


那么后果很有意思,比如zhidao、news、www都有自己的用户体系,都有登陆功能,那么登陆后记录的sessionid在浏览器的表现都是JSESSIONID,并且保持的目录都是/这个根目录,域名为根域。这种情况在firefox下面就会影响之前登陆的系统了。


其实很好理解,还可以看head信息:

本来想自己弄一套图的,但是有点懒,盗用解决公司问题是截下的图,大家勿喷,多多包含!!!!

第一个域名登陆后的请求信息,注意里面的JSESSIONID

第二个域名登陆后的请求信息,注意里面的JSESSIONID


第一个域名再次访问请求信息,注意里面的JSESSIONID,和响应信息,注意这也有sessionID,这里发生了重定义




怎么办,找有经验的google,或者官方网站,但就别看baidu了,一般做技术的都懂,你呢,应该懂得。。。


正确配置如下

  <Context path="/zhidao" docBase="/zhidao.cctv.cn" sessionCookiePath="/zhidao"  sessionCookieDomain=".cctv.com" sessionCookieName="CCTVZD_SESSIONID" reloadable="false" caseSensitive="false" crossContext="true">
         </Context>


  <Context path="/news" docBase="/news.cctv.cn" sessionCookiePath="/news"  sessionCookieDomain=".cctv.com" sessionCookieName="CCTVNEWS_SESSIONID" reloadable="false" caseSensitive="false" crossContext="true">
         </Context>


有始有终,奉上官方秘方:

http://tomcat.apache.org/tomcat-7.0-doc/config/context.html





摩西_玄晨
关注
专栏目录
域名下的JSESSIONID冲突
YHC
09-24 5843
最近在做一个项目,但是由于之前一个项目也同时部署在同一台tomcat下,所以出现了sessionId的冲突,描述一下冲突过程:1.      打开浏览器访问第一个项目(配置在根目录) 2. 打开另一标签访问第二个项目(spring security 示例https形式登录)注意:访问第二个项目时第一次访问登录页面就带上了第一次访问第一个项目所返回的cookie值(JSESSIONID=32760F
springboot+shiro 一个项目部署多个,session名冲突问题
小皮的博客
04-18 2094
springboot+shiro 一个项目部署多个,session名冲突问题 问题 前几天遇到一个比较奇怪的问题,一个项目部署多个,端口不同。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。 原因 是因为sessionid相同,然后修改了springboot中sessionManager的相关配置,主要是...
域名多商家多用户session设置
webnoties的专栏
07-13 900
在只有1个域名的情况下,需要建立多商家多用户系统。 由于SESSION是根据客户端的域名不断来判断用户状态的,如果要同一域名多商家判断状态的话,需要手动传递参数到服务端,方式有多种,一种是直接在url后加参数如:url?merchant_id=1,还有就是用目录格式如:url/merchant_id=1/?,这样服务端就能区别不同的商家了,而对于不同商家下的不同用户判断,则需要每次打开页面都要去
部署在同一台机器的不同应用,两个应用的cookie会互相影响的问题(如果做了登录拦截,会导致已登录的应用需要重新登录)
熊猫的故乡的博客
05-29 5304
2018年5月29日记    今天在解决项目的bug时发现的一个问题,我们有两个系统:权限管理系统(简称系统A)、前台展示系统(简称系统B),发现系统A在登录的情况下,如果在打开一个页面登录系统B,再回到系统A访问时会跳转到登录也重新进行登录,导致系统A与系统B不能同时进行登录。    初步的猜想可能是因为客户端部分的session或者cookie出现了问题,那会出现什么问题呢?下面我们就先认识一...
jsessionid会在同一域名下冲突吗_(望周知)别让个性域名出卖你的名姓
weixin_34911749的博客
12-06 232
用知乎几年了,昨晚用网页版点开个人主页的时候,唐突发现我的域名里包含了我的个人姓名:呈现出 people/z*-s*-26 的形式,其中的z*s*部分就是我的实名,数字部分应该是防重复的乱码后缀。思前想后,发现多半是注册时初始昵称作祟,当时用了实名所以就一直暴露着,即使我后来修改了昵称但域名不会相应更改。于是我立马把个人域名改成了知乎的公网安备号,不就是互相恶心嘛,谁还不会啊。(修改方法:网页版设...
国旗下关于谨防信息泄密的演讲稿.docx
02-11
### 信息时代下的信息安全保护——谨防信息泄密 #### 一、引言 随着21世纪的到来,互联网技术的飞速发展与普及已经成为不可逆转的趋势。人们在享受着网络带来的便捷之时,也不得不面对随之而来的一系列挑战,尤其是...
谨防上火创意flash动画
07-24
在这个项目中,我们可以探讨几个与Flash动画制作和技术相关的知识点: 1. **Flash软件**:Flash是由Adobe公司开发的一款用于创建2D动画、交互式内容和多媒体应用程序的软件。它提供了时间轴、图层、符号等元素,...
电商平台需谨防下架侵权产品换装卷土重来.zip
10-29
电商平台需谨防下架侵权产品换装卷土重来
体育学科谨防体育新课程改革下的体育学习评价走入误区.doc
11-20
然而,在实际操作中,体育学习评价容易陷入误区,影响其应有的教育效果。 首先,体育学习评价的目的应在于了解学生的学习状态,包括体能、运动技能以及学习态度。评价不应只关注结果,而忽视了学生在学习过程中的...
电商平台需谨防下架侵权产品换装卷土重来.pdf
07-10
电商平台需谨防下架侵权产品换装卷土重来.pdf
域名下的多项目谨防sessionid互相影响,django解决方案
hj009zzh的博客
09-18 412
1.域名下的多项目谨防sessionid互相影响 https://blog.csdn.net/sl0007/article/details/17278629 同域名下的多项目谨防sessionid互相影响造成严重后果,保持咱程序猿的优良传统,独立的命名空间,严格的洁癖症,处事不惊的顽强能力。转入正题 已我开发cctv项目为例,当然cctv愿意找我,我是很乐意效劳的,哈哈!!不过我是无证程序猿,很...
同一服务器不同应用cookie互相影响问题
BestEternity的博客
07-11 1247
问题: 系统A、系统B有登录拦截,部署在同一服务器域名相同,系统A在登录的情况下,如果在打开一个页面登录系统B,再次回到系统A访问时,会跳转到登录页重新登录,导致系统A与系统B不能同时登录,系统A已登录,系统B登录时会带上系统A产生的cookie,登录请求返回后,此时cookie中的值就变成了系统B创建的session对象,也就是系统A产生的cookie值被覆盖,系统A再次发送请求,会拿着系统B产生的cookie的值去系统A中找是否有session对象,由于找不到session对象,服务器又给
两个网址登录同一浏览器,出现cookie冲突的原因及js取不到cookie的原因
cxwy_ing的博客
03-23 3862
关于cookie冲突问题,js取不到cookie问题 cookie不区分端口号,如果统一IP下,不同端口号的系统,cookie会共享。所以如果你有两个系统只是端口号不同,而token信息存在了cookie,在同一浏览器登录,会出现token冲突。 后端set cookie的时候使用了httpOnly,或设置了特殊path,前端js是取不到cookie的值的。 ...
记一次前端cookie冲突,导致同一个浏览器其他系统被踢下线问题分享
最新发布
u014165391的博客
03-25 854
虽然最终解决了问题,但是我觉得后端在cookie的设置上还是不够谨慎,一些重要cookie key信息不设置httponly, 及其容易发生cookie劫持攻击,因为cookie完全是后端设置的,所以也更应该设置成httponly,防止前端修改导致出现的一系列的问题了。最后如有不足之处,还望在留言区进行补充说明!
多个Tomcat 同一域名下不同端口 session ID 互相覆盖 丢失
HouYing
04-19 2395
亲测可用方法:      context.xml
session冲突问题产生的原因和解决方法:
热门推荐
wangwei249的博客
06-03 1万+
背景知识:     1. cookie与session的关系        cookie和session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,        这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个i
关于二级域名获取session的登陆用户问题的解决
天意young的博客
10-18 899
有很多的网站下面挂着一些二级域名的子网站,在页面进行切换的时候,二级域名的网站往往获取不到后台存在session里的用户信息,此时我们可以通过cookie.setdomain(".demo.com")的方式实现了跨域共享cookie,再把存放用户的sessionid放在cookie中,以此来实现跨域。 如何根据sessionID获取session:https://blog.csdn.net/de...
域名下不同系统登录后导致cookie JSESSIONID被替换退出登录解决办法
12-28 1312
现象:A系统和B系统同属于一个域名下,A系统登录后,要访问B系统资源,在访问B系统资源时调用B系统登录认证,B系统登录成功,可以访问资源。但是返回到A系统发现退出登录了,感觉莫名其妙。经过一通网上查找,发现A系统和B系统的sessionid名字是一样的,采用tomcat默认名称JSESSIONID(ps:Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了),所以B系统登录后串改了JSESSIONID的值,导致A系统退出登
Linux危险命令揭示:谨防误操作与恶意利用
本文主要介绍了Linux系统中一些可能引起严重后果的常用命令,强调了在Linux环境中用户对于这些命令的无知可能会带来的风险。由于Linux给予了用户高度的自由度,这也意味着潜在的安全隐患增加。文章列举了一些危险的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值