阻止跨网站跟踪(Prevent Cross-Site Tracking)时cookie未获取到,造成服务端获取session失败

最新推荐文章于 2021-03-09 16:30:56 发布
最新推荐文章于 2021-03-09 16:30:56 发布
阅读量1.6w 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44087826/article/details/91981866
版权

跨域获取cookie失效解决方案

参考:http://www.bubuko.com/infodetail-357996.html

1、iphone 自带浏览器(Safari)跨网站跟踪时,需要关闭Safari设置中"阻止跨网站跟踪",如下图:
在这里插入图片描述

2、iphone 中firefox 以及Google Chrome浏览器由于涉及到用户隐私,默认时关闭

由于以上2点,自定义Session

请求时需带参数token,示例:
http://localhost:8080/test/info?token=12345678


Locale locale = new Locale("en", "US");
ActionContextUtil.getContext(token).getSession().put(Constants.WW_TRANS_I18N_LOCALE, locale);

String themeName = "default";
ActionContextUtil.getContext(token).getSession().put(Constants.SESSION_KEY_THEME_NAME, themeName);

ActionContextUtil.getContext(token).setCustomI18N();
ActionContextUtil.getContext(token).setThemeName();

配置文件config.properties

#定时任务周期(单位:毫秒):1分钟 = 1000*60
periodTime=60000

#自定义session超时时间(单位:毫秒):30分钟 = 1000*60*30
sessionTimeout=300000

web.xml 配置监听器

<listener>		
		<listener-class>cn.ding.listener.ServiceDataTaskListener</listener-class>
</listener>

创建监听器

package cn.ding.listener;

import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import org.apache.log4j.Logger;
import cn.co.test.task.TimerManager;

public class ServiceDataTaskListener implements ServletContextListener {

	private static Logger logger = Logger.getLogger(ServiceDataTaskListener.class);

	@Override
	public void contextInitialized(ServletContextEvent sce) {
		try {
			new TimerManager();
		} catch (Exception e) {
			logger.error(e);
		}

	}

	@Override
	public void contextDestroyed(ServletContextEvent sce) {

	}

}

定时

最低0.47元/天 解锁文章
hy.ding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Cross Site Tracing (XST) Attacks(跟踪攻击)练习详细步骤(WebGoat5.4)
软件生命周期中的攻防博弈
08-28 2104
由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。 HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(
Mac使用技巧:在Safari 浏览器中阻止跟踪
zjj778899的博客
03-29 3014
跟踪是一项非常复杂的,并且在网站分析领域里面是经常出错的。它涉及到cookie,浏览器的安全设置和你所采用的跟踪策略。那么如何在Safari Mac浏览器中阻止跟踪呢? 部分网站使用第三方内容提供商。用户可以让第三方内容提供商停止网站跟踪用户以提 供 产 品和服务广告。 1.在 Mac 上的 Safari 浏览器 App 中,选“Safari 浏览器”>“偏好设置”,然后点按“隐 私”。 2.选择“阻止跟踪”。 除非用户将第三方内容...
How to Prevent Cross-Site Scripting Attacks
weixin_33752045的博客
10-24 132
How to Prevent Cross-Site Scripting Attacks Reference From: http://resources.infosecinstitute.com/how-to-prevent-cross-site-scripting-attacks/ Translated By: LittleHann       1. 简介 站点脚本(...
浅谈“跟踪攻击(即CST/XST攻击)”
→_→
05-23 1798
漏洞名称: Cross-Site-Tracing"简称为 CST / XST-站式追踪攻击 描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击。 检测条件: 需要目标 Web 服务器允许接受 Trace、Track 方法的请求。 客户可以发送 Trace、Track..
Chrome 80+关于站访问Cookies的巨大变动,导致登录失败
小桥流水丿小溪
09-09 2016
前言 最近有部分开发者同事的 Chrome 被自动升级到 80+的版本,然后发现 网页登录后的请求没带上 cookies,导致用户验证失败。 主要发生在:前页面 和 后台服务 不在一台服务器上,ip或者域名不同,即站请求出现的。 这是因为谷歌从2月17日开始对 Chrome80+ 开启了 SameSite="Lax"(限制站访问 Cookie)。 根据在线流量监控器StatCounter的数据,Chrome是最受欢迎的网络浏览器,这一变化将在2020年影响全球64%的互联网用户。请继续阅读以了解如
prevent-window-scroll:a light script with prevent body scroll when part scroll, 浮动层局部滚动阻止页面整体滚动
05-11
prevent-window-scroll a light script with prevent body scroll when part scroll, and it has no dependancy. 弹层局部滚动阻止页面整体滚动 特点: 1、无依赖,原生js实现; 2、经测试兼容90%以上的浏览器;...
prevent-autofill.js:尝试阻止浏览器自动填充功能访问表单输入
07-18
尝试阻止浏览器自动填充功能访问表单输入。 专为对抗 Chrome 的自动填充功能而创建。 Chrome 似乎并不关心我在任何类型的地址表单上的“自动完成”设置,无论自动完成属性放在哪个元素上。 唯一的依赖是 jQuery。 ...
prevent-pull-refresh:[ABANDONED]防止移动设备上的“拉动刷新”效果浏览器
01-31
$ yarn add prevent-pull-refresh 用法 import 'prevent-pull-refresh' ; 要么 < script src =" //unpkg.com/prevent-pull-refresh " > </ script > 执照 麻省理工学院:copyright:
Android-Prevent-Screen-Off这个库实现当用户看屏幕将一直保持屏幕不关掉
08-13
"Android-Prevent-Screen-Off"是一个专门为此目的设计的库,它允许开发者轻松地实现在用户查看屏幕阻止设备自动熄屏。这个库由Keval Patel(kevalpatel2106)开发,其主要功能是在检测到用户正在注视屏幕,防止...
WebRTC-Leak-Prevent:防止Chromium浏览器中的WebRTC泄漏
01-30
WebRTC防止泄漏版本1.0.14 | 2018年5月9日WebRTC Leak Prevent提供了对Chromium中没有本机GUI的WebRTC隐私设置的用户控制。 该扩展的预期用途是防止。 唯一需要的权限是“隐私”和“存储”。这个怎么运作在Chromium...
chrome拓展 站_Chrome可以让你屏蔽站点跟踪
weixin_39955732的博客
12-21 452
谷歌计划让你在Chrome上阻止站点跟踪。这家搜索公司已经公开了通过区分单站点和多站点cookie来改进cookie控制的努力,为您提供了删除跟踪程序而不丢失用于登录和其他重要任务的cookie的选项。为了做到这一点,谷歌将要求网络开发者指定哪些cookies可以网站运行——如果他们不这样做,Chrome将无法很好地运行。这个特性依赖于一个web标准,并且可以在最新的Chrome开发者版本中进...
火狐浏览器 阻止访问源_Firefox 65将阻止站点跟踪
cum88284的博客
09-30 603
火狐浏览器 阻止访问源An upcoming version of Firefox will block cross site tracking by default. 默认情况下,即将发布的Firefox版本将阻止站点跟踪。 The feature will be part of Firefox 65, coming out in December, though users of the ...
浏览器禁用Cookie,基于Cookie的会话跟踪机制失效的解决办法
w_basketboy的专栏
07-08 4175
浏览器禁用Cookie,基于Cookie的会话跟踪机制失效的解决办法
前后分离(域)sessionid不一致Safari浏览器解决方案(不能保持会话或者不能存储cookie
leon-这个程序员不闷骚的博客
03-21 7360
对于前后分离的项目或者单点登录的系统后台需要做session会话校验或者cookie域存储,Safari浏览器可能会遇到无法存储cookie候,解决方案如下:PCSafari浏览器需要设置 偏好设置-&gt; Safari -&gt; 阻止Cookie -&gt; 始终允许偏好设置-&gt; Safari -&gt; 允许访问过的网站-&gt; 始终允许偏好设置-&gt; Safari ...
macOS Big Sur 如何使用Safari浏览器智能防跟踪功能?
weixin_51582445的博客
11-18 573
在macOS Big Sur 11.0 系统,Safari 浏览器新增了“智能防跟踪”功能阻止跟踪跟踪您。本文详细介绍了Safari浏览器智能防跟踪功能。 什么是跟踪器? ▪部分网站允许称为跟踪器的数据采集公司跟踪您的浏览活动。跟踪器可以多个网站跟踪您并将您的活动结合成提供给广告商的个人资料。 ▪比如社交媒体站点会经常将“分享”、“点赞”或“评论”按钮放在其他网站上。即使您不使用这些按钮,它们也可用于跟踪您的网页浏览记录。 ▪Safari 浏览器会阻止跟踪行为。 开启“智能防跟踪”功能 ▪在
网站跟踪(web tracking)的原理
热门推荐
中华胡杨的专栏
07-30 1万+
网站跟踪并不是什么新的技术,而只是一种比较常见的应用,甚至都谈不上新。这里想跟大家分享一下,里面有我的一些想法和思考,如果有不准确的地方,还请不吝赐教。为什么要跟踪现在大家对隐私都比较敏感,而且对互联网流氓都比较警惕,所以一旦提到“跟踪”字眼就会觉得很不舒服。那我们先谈谈为什么会有网站跟踪。 作为服务提供商,我们当然会希望知道用户对所提供服务的态度,这在任何行业都是明显的,对传统行业而言,销量就是最
Mac电脑Safari 浏览器中Cookie网站数据如何管理
Mac881030的博客
03-09 287
Safari 浏览器是Mac电脑上自带的一款非常好用的浏览器,如何管理Safari 浏览器中Cookie网站数据呢?跟随小编一起来看看吧! 可以更改 Safari 浏览器偏好设置中的选项,从而让 Safari 浏览器始终接受或始终阻止“Safari 浏览器”>“偏好设置”,点按“隐私” 执行以下任一项操作: 防止跟踪器使用 Cookie网站数据跟踪您:选择“阻止跟踪”。 Cookie网站数据会被删除,除非您访问跟踪器的网站并与之交互。 始终阻止 Cookie:选择“阻止所有 Co
safari_Safari的新型智能跟踪预防功能如何工作
cuma1988的博客
09-27 581
safariIt’s one of the most discussed new features in High Sierra: Safari’s new Intelligent Tracking Prevention. Advertisers are upset about it, claiming it’s “bad for the ad-supported online content a...
Http的会话跟踪站攻击(xss)
世上只有一种英雄主义
03-17 287
会话跟踪 什么是会话? 客户打开与服务器的连接发出请求到服务器响应客户请求的全过程称之为会话。 什么是会话跟踪? 会话跟踪指的是对同一个用户对服务器的连续的请求和接受响应的监视。 为什么需要会话跟踪? 浏览器与服务器之间的通信是通过HTTP协议进行通信的,而HTTP协议是”无状态”的协议,它不能保存客户的信息,即一次响应完成之后连接就断开了,下一次的请求需要重新连接,...
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
最新发布
05-19
Yes, you can indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute. The SameSite attribute can have three values: "Strict", "Lax", or "None". - "Strict" means that the cookie should only be sent in a first-party context, meaning that it should only be sent with requests originating from the same site that set the cookie. - "Lax" is a less strict version of "Strict" that allows some exceptions, such as when a user follows a link from an external site. - "None" means that the cookie can be sent in any context, including cross-site requests. Setting the SameSite attribute to "Strict" or "Lax" can help prevent certain types of attacks, such as cross-site request forgery (CSRF). However, it's important to note that not all browsers support the SameSite attribute, so it should be used in conjunction with other security measures.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值