cookie冲突的问题

最新推荐文章于 2023-11-14 16:06:34 发布
最新推荐文章于 2023-11-14 16:06:34 发布
阅读量1k 收藏 1
点赞数
分类专栏: J2EE 文章标签: Weblogic 应用服务器 Firefox Firebug XML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yugenning/article/details/83952320
版权

问题现象:   
    这段时间开发了一个系统(A系统),其中部分页面采用了iframe嵌入了B系统的页面;在QA环境测试的时候,发现A系统操作提交的sessionId会被B系统的sessionId覆盖。

排错过程:
    QA环境,两个系统部署在同一个weblogic的不同domains下面;而在开发环境的时候没有发现问题;开发环境使用的是tomcat6.0;
    使用火狐的fireBug跟踪请求的头信息,发现如果A系统的页面有嵌入B系统的页面,那么在B系统页面展示结束之后,A系统与服务器的交付,提交的sessionId都是B系统的sessionId;

    这个时候,以为cookie是采用IP为key进行保存的,同样的IP地址会把cookie信息重写;

    后来发现在开发环境中不会出现这个问题(两个系统部署在同一个tomcat6服务下)

    之后在使用 firefox 查看QA环境的cookie信息的时候,发现cookie的"路径" = "/" ,但是实际上这两个服务的路径应该都有的 A系统为(“/A”),B系统为(“/B”)

    而后,使用   firefox 查看开发环境的cookie信息的时候,发现cookie的"路径"是正常的。

 

    开发环境与QA环境仅仅是中间件服务器的不同;

 

    这个时候,考虑是否weblogic有配置可以控制cookie的写入信息;

 

    后来通过goole发现了下面的解决方法:

 

WebLogic不同域的Cookie冲突问题

原文url:http://www.devx.me/java/server/weblogic-domain-cookie-conflict.html 

WebLogic的Cookie相关配置:
属性名                默认值                 值
cookie-name    JSESSIONID     如未设置,默认为“JSESSIONID”
cookie-path     NULL                如未设置,默认为“/”
cookie-domain NULL                如未设置,默认为发放cookie的服务器的域


由于没有在Weblogic.xml配置文件中对cookie的相关属性值进行配置,因此应用CA和应用CB的cookie的Name、Domain和Path属性值均为默认值,即Name为JSESSIONID,Path为“/”,Domain为服务器的IP地址,三个属性值均相同,这就造成了应用CA的cookie与应用CB的cookie会互相覆盖,从而导致相应应用的session丢失。

三、解决办法:

在Weblogic.xml配置文件中增加Cookie的相应属性值的配置:

方法1:设置各应用的cookie的Name属性为不同值

方法2:设置各应用的cookie的Path属性为不同值(cookie的Path属性值需与context-root值保持一致,context-root若未在Weblogic.xml中指定则默认为部署的WAR包名或文件夹名,若同一Weblogic服务器不同域中的两应用context-root相同,则此方法不可行)

附注:虽然问题是在WebLogic下的不同域部署应用进行互访的情况下发现的,但是,从问题产生的原因来看,在同一个域中的不同应用的互访,如果未做cookie相关属性值的配置,也会出现cookie冲突的问题。

 

yugenning
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP的cookie和session冲突造成Cookie不能使用的解决方法
10-25
主要介绍了ThinkPHP的cookie和session冲突造成Cookie不能使用的解决方法,需要的朋友可以参考下
记一次前端cookie冲突,导致同一个浏览器其他系统被踢下线问题分享
u014165391的博客
03-25 790
虽然最终解决问题,但是我觉得后端在cookie的设置上还是不够谨慎,一些重要cookie key信息不设置httponly, 及其容易发生cookie劫持攻击,因为cookie完全是后端设置的,所以也更应该设置成httponly,防止前端修改导致出现的一系列的问题了。最后如有不足之处,还望在留言区进行补充说明!
解决Cookie 具有缺失、不一致或矛盾属性
huan1213858的博客
12-07 4375
cookie
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
记一次低危漏洞处理
Aliux_JLQ的博客
02-23 6763
Spring+Shiro低危漏洞处理
Cookie 缺少 HttpOnly属性和x-frame-options 缺失问题
w2363075992的博客
05-21 2218
过滤器dofileter 方法中 添加HttpServletRequest req = (HttpServletRequest) request;HttpServletResponse res = (HttpServletResponse) response;res.addHeader("Set-Cookie", " Path=/;  HttpOnly");  //Cookie 缺少 HttpOn...
javascript与cookie问题详解
10-26
JavaScript 和 Cookie 在Web开发中扮演...通过合理地指定域和路径,以及正确处理读取逻辑,可以有效地避免因Cookie冲突导致的问题。同时,保持良好的编程习惯和清晰的文档说明也有助于减少沟通误解,提高团队合作效率。
解决java后台登录前后cookie不一致问题
08-31
1. **Session ID冲突**:在用户登录过程中,服务器可能会分配一个新的Session ID,但客户端的Cookie仍然持有旧的Session ID。 2. **Cookie更新不正确**:服务器在处理登录请求时没有正确地更新或设置Cookie。 3. **...
cookie和会话状态的工作原理 .docx
09-29
2. 在高流量网站中,Session ID有可能重复,导致安全性问题。因此,应确保Session ID的生成足够随机,以减少冲突。 3. 不能直接从硬盘上的Cookie文件获取Session ID,需要通过JavaScript来读取。 在PHP中,可以使用...
关于Tomcat 8.5中Cookie问题
qq_43673887的博客
11-03 1173
关于Tomcat 8.5中Cookie问题 Tomcat 8 ( or later) 版本进了很多改进,其中的 Cookie 处理也升级到 RFC6265 规范,可能导致在 Tomcat 8 以前版本中运行无问题的Web项目在 Tomcat 8 中报下面错误: 源码: public class LastAccessServlet extends HttpServlet{ private static final long serialVersionUID = 1L; @Override pr
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
同域名下不同端口 cookie共享冲突问题
weixin_33836874的博客
01-27 2741
2019独角兽企业重金招聘Python工程师标准>>> ...
两个网址登录同一浏览器,出现cookie冲突的原因及js取不到cookie的原因
cxwy_ing的博客
03-23 3606
关于cookie冲突问题,js取不到cookie问题 cookie不区分端口号,如果统一IP下,不同端口号的系统,cookie会共享。所以如果你有两个系统只是端口号不同,而token信息存在了cookie,在同一浏览器登录,会出现token冲突。 后端set cookie的时候使用了httpOnly,或设置了特殊path,前端js是取不到cookie的值的。 ...
多个系统部署在同一个nginx中,相同域名,导致cookie冲突
最新发布
u010793993的博客
11-14 644
多个系统部署同一台服务器,在同一个nginx中,同一个浏览器访问的情况下,会出现cookie冲突情况,导致先登入的系统被后登入的系统自动覆盖cookie的jsessionid,而导致session失效
同IP不同端口导致cookie冲突解决方法
山巅
02-21 4779
同IP不同端口导致cookie冲突解决方法一、项目背景1、技术栈2、问题描述二、解决办法 一、项目背景 1、技术栈 springboot、springcloud、vue、gateway、springmvc、k8s等 2、问题描述 一个k8s集群服务器上搭建了多个项目,端口不一样,同时启动访问时token丢失。如:A,B两个服务,在浏览器中登录访问A后,当前打开的浏览器上在开一个选项卡访问B服务后,回过来点击访问A时token丢失,需要重新登录A才可以访问。经过资料查找,发现问题是因为: IP相同认为是同一
解决cookie冲突问题
qq_43728149的博客
05-25 946
最近在搞单点登陆时,遇到这样一直情况。登陆单点系统后,进行子系统的跳转,跳转后回到单点系统进行其他系统的跳转时,发现需要重新登陆,经过检查发现,单点系统的cookie值改变了。查询后发现是因为两个系统都使用的是默认的cookie的name(JSESSIONID),登陆其他系统将其cookie的值改变了。解决方法如下: 找到tomcat安装目录apache-tomcat-8.0.23\conf\server.xml中的host便签里添加配置内容即可。 <Host name="localhost" a
相同域名,导致cookie冲突
wltsysterm的博客
11-29 4531
现象: 多个系统部署同一台服务器,如果有用到cookie-session,会出现cookie冲突情况,导致先登入的系统被后登入的系统自动覆盖cookie的jsessionid,而导致session失效。 解决方法: 手动设置jsessionid的name 具体措施: [默认系统基于springboot开发]直接给系统添加如下配置类,无需其他操作,上述问题解决: import org.sp...
【WebDriver】firefox读写cookie问题
十洲云水 的专栏
10-08 1886
【测试内容】 1.打开一个设定画面,进行一些设定。 2.关闭浏览器 3.再次打开该设定画面,确认画面上的内容与之前设定的一致。 【问题描述】     IE测试没有任何问题,只是在firefox中遇到了下面的问题:     当做好设定,关闭浏览器,再次通过webdriver打开设定画面时,又变成了未设定之前的样子。也就是说之前的设定无效。     下面的代码是网上查阅到
相同IP部署不同模块同一个cookie引起冲突
孟美岐的博客
07-18 1321
现象: 在一台服务器上部署多个springboot的WEB服务,用同一个浏览器访问时,登录其中一个,其他的就需要重新登录 原因: 相同的cookie name引起 起了多个就覆盖来覆盖去的 解决办法: 修改每个springboot WEB工程的 application.properties 文件中的 server.session.cookie.name 属性,使该服务器内部署的所有WEB工程的 s...
cookie的测试点
09-15
10. Cookie的并发性:测试在多个并发请求中使用cookie时是否能够正确处理,避免出现冲突或错误。 这些是一些常见的测试点,可以帮助确保cookie的正确性和安全性。根据具体情况,还可以根据需求添加其他测试点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值