java窗口重新调用_java – 调用invalidate后重新使用会话ID

最新推荐文章于 2021-03-04 15:44:22 发布
最新推荐文章于 2021-03-04 15:44:22 发布
阅读量102 收藏
点赞数
文章标签: java窗口重新调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39621695/article/details/114728614
版权

我继承了一个非常古老的JSP应用程序(JDK 1.3.1_15),并试图插入会话固定漏洞.

在使用HttpSession.invalidate()进行身份验证后,我成功地使当前会话无效,但是在创建新会话时,将重新使用旧会话ID.

我可以在HTTP监视器中看到新的会话分配,它只是再次使用相同的号码.

-- Initial request response --

HTTP/1.1 200 OK

Set-Cookie: JSESSIONID=6a303082951311647336934;path=/

-- login.jsp request response --

HTTP/1.1 302 Moved Temporarily

Location: http://example.com/logged-in.jsp

Set-Cookie: JSESSIONID=6a303082951311647336934;path=/

在我使用session.invalidate()之前,第二个Set-Cookie响应头根本不存在.

有没有人对如何生成新的会话ID有任何建议?我对JRUN4不是很熟悉,但是通过配置文档进行拖网并没有发现任何问题.

最佳答案

要解决此问题,您可以使用第二个非持久性cookie作为可以控制其值的会话ID.我们的想法是生成一个唯一的ID并将其存储在cookie和会话中.通过使用invalidate,尝试使用此cookie尝试对此cookie实现相同的逻辑.具体而言,在身份验证成功之前,请不要发出将来可以接受的实际标识符.然后创建一个Servlet过滤器,检查每个请求并将此新cookie的值与存储在会话中的值相匹配.如果它们不匹配,就会发生一些邪恶的事情.我知道这比仅仅依靠session.invalidate()发布一个新的ID要麻烦一些.但是考虑到你的约束和JRun的行为,这将提供足够的保护来防止会话固定.

相关文章

总结

如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。

如您喜欢交流学习经验,点击链接加入交流1群:1065694478(已满)交流2群:163560250

weixin_39621695
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 函数重新调用_在Android上从Java调用C类方法或函数,而不是在每次调用重新创建类/变量...
weixin_29291069的博客
03-02 124
Assumtion我假设您使用Android NDK等工具集为Android编译了C代码,并且前端Java应用程序与后端C代码在同一设备上运行.Java本机调用会话状态无论您使用以下三个接口中的哪一个.在Java应用程序运行的整个过程中,C/C++库被加载并保留在内存中.图书馆的状态将一直保存.我没有清楚地了解你对初始化的担忧.这不像在CLI上启动命令,其他应用程序一次又一次地启动和停止.… B...
Java_方法的重载与调用
weixin_46859677的博客
04-26 1297
Java_方法的重载与调用
java https soap_java 如何将会话ID作为Soap请求的一部分传递?
weixin_30446393的博客
03-04 107
调用一个身份验证请求,以便接收会话ID:2342422342.dc8bizxsfapi032342342342342353452323在我正在使用的Soap API的文档中指出:A successful login will return asession ID as an HTTP Cookie. This cookie must be passed back to all subsequen...
java invalidate_Swing GUI中validate(),revalidate()和invalidate()
weixin_28848917的博客
02-16 961
invalidate()将容器标记为无效。意味着内容在某种程度上是错误的,必须重新布局。但它只是一种标志/旗帜。有可能以后必须刷新多个无效容器。validate()执行重新布局。这意味着要求所有大小的无效内容,并且LayoutManager将所有子组件的大小设置为正确的值。revalidate()只是两者的总和。它将容器标记为无效并执行容器的布局。更新:Component.java中的一些代码pu...
java invalidate_详解Android中自定义View的invalidate,Handler和postInvalidate | 学步园
weixin_30837611的博客
02-16 226
package com.yarin.android.Examples_05_01;import android.app.Activity;import android.os.Bundle;import android.os.Handler;import android.os.Message;import android.view.KeyEvent;import android.view.Motio...
Java会话技术详解.pdf
06-13
* 销毁:服务器关闭Session对象,调用invalidate()方法,或者默认情况下30分钟后被销毁 三、Cookie和Session的比较 * Cookie保存在客户端浏览器中,Session保存在服务端内存中 * Cookie的数据共享范围是整个应用...
studentManagement_JavaEE_java系统_管理系统java_学生管理_
10-03
JavaEE中,可以使用Session接口的invalidate()方法结束用户的会话状态。 8. **技术栈**:此项目可能使用了Spring框架进行依赖注入和事务管理,SpringMVC负责模型-视图-控制器架构,以及MyBatis或JPA作为数据访问...
Java使用cookie和session共7页.pdf.z
10-30
Java Web开发中,Cookie和Session是两种非常重要的会话管理技术,它们用于跟踪和维护用户的状态信息。本文将深入探讨这两个概念,以及如何在实际应用中有效地利用它们。 首先,我们来理解Cookie。Cookie是一种在...
韩顺平Java -会话技术总结
04-22
当超过这个时间用户无操作或者调用`invalidate()`方法,Session将会失效。 综上所述,Cookie和Session都是用来保持客户端和服务器之间的会话状态,但它们有各自的特点和适用场景。Cookie存储在客户端,适用于较小的...
JavaWeb基础知识汇总-java web
最新发布
06-28
- `invalidate()`: 使会话无效。 - **Cookie** - `HttpCookie`类用于存储和发送简单的键值对信息。 - 常用于保持登录状态等。 #### 总结 JavaWeb的基础知识涵盖了从入门到进阶所需的关键技术点,包括但不限于...
java invalidate_view.invalidate()原理
weixin_42316909的博客
02-16 419
加载View的onDraw()方法的时机以及invalidate()方法的作用。事实上,远远没有您想象的那么简单。为了写好这篇博客,还是拿例子说事吧。[java] view plaincopyprint?package mark.zhang;import android.app.Activity;import android.content.Context;import android.grap...
Java:session中的invalidate()的作用是什么呢?求解
06-22 3080
Java:session中的invalidate()的作用是什么呢?求解 手工杀会话会话失效有2种可能:超时和手工杀会话。手工杀方便省时间,程序员都爱用。比如我做一个程序需要登录,中间访问的页面有会话控制,如果没有登录则跳转到登录页面,退出时清会话信息。这是有两个...
java 获取session为空_为什么在JAVA中session.invalidate()之后会话不为空?
weixin_32821643的博客
02-16 675
调用session.invalidate()会从注册表中删除该会话.之后调用getSession(false)将返回null(请注意,在这种情况下,getSession()或getSession(true)将创建一个新会话).调用invalidate()还将删除绑定到会话的所有会话属性.但是,如果您的代码仍然具有对会话或其任何属性的引用,那么这些仍然可以访问:// create session i...
session.invalidate()的用法
渔闻520的博客
09-23 1万+
当浏览器第一次请求时,服务器创建一个session对象,同时生成一个sessionId,并在此次响应中将sessionId 以响应报文的方式传回客户端浏览器内存或以重写url方式送回客户端,来保持整个会话。 关闭此浏览器窗口,其内存中的sessionId也就随之销毁。 session.invalidate()是将session设置为失效,一般在退出时使用,但要注意的是:session失效的同时...
用户登陆问题,session.invalidate销毁session
evilcry2013的博客
01-23 8224
用户登陆问题,session.invalidate销毁session 博客分类:  java JavaApacheStrutsTomcatServlet  用户第一次登陆,可以登陆,点退出,调用session.invalidate,然后再次登陆,正常登陆,然后再点退出,这是第二次点退出第三次进行登陆,这时在登陆的时候就会报错了,java.lang.IllegalStateE
关于session、invalidate()、request.getSession(boolean)的一点实验
摩卡&Java
09-02 873
今天发现jboss给我丢出了一个错误。 "Session already invlidated!" 于是开始寻找这个BUG的原因,后来发现时我代码里有一句session.invalidate(); 由于session是有效期的,也就是说web容器会在有效期到了之后把到期的session彻底清除。 但是我写这段代码的时候显然并没有考虑到这个。所以当一个失效的session被我执行inva...
invalidate()方法不调用onDraw()方法的原因及解决办法
热门推荐
本人很懒
10-31 1万+
在网上看到很多人都在问自定义View中,使用invalidate()方法并不会不调用onDraw(),其实很容易忽略的一个原因是:你调用invalidate()的对象是哪个?你使用你要刷新的那个View对象调用invalidate()吗?我曾经就遇到过这样一个低级的错误。 代码如下: //自定义View中有一个文本,对外提供接口动态改变文字。 public class ImgTextView
Invalidate(TRUE)与Invalidate(FALSE)区别
爱她就要努力
06-29 7361
篇一: Invalidate(false)不擦除背景,直接画 Invalidate(true)擦除背景 InvalidateRect只是增加重绘区域,在下次WM_PAINT的时候才生效 InvalidateRect函数中的参数TRUE表示系统会在你画之前用背景色将所选区域覆盖一次,默认背景色为白色,可以通过设置BRUSH来改变背景色。 Invalidate()之后:(MFC的,顺便了)
Java EE基础教程:会话对象session详解
4. 为了释放服务器资源,当不再需要session时,应调用invalidate()方法来结束会话。 需要注意的是,session依赖于cookie,因此如果用户禁用了cookie,session机制可能无法正常工作。此外,session对象会占用服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值