jsessionid的解决办法

最新推荐文章于 2022-09-06 16:44:27 发布
最新推荐文章于 2022-09-06 16:44:27 发布
阅读量356 收藏
点赞数
分类专栏: Java代码 文章标签: Servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_xingye/article/details/83397664
版权

用户首次登陆系统时,会在地址后面加个jsessionid=xxx导致从外网不能登陆系统,网上搜了一些资料,通过加过滤器的办法解决:

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
* Servlet filter which disables URL-encoded session identifiers.
* <p/>
* <pre>
* Copyright (c) 2006, Craig Condit. All rights reserved.
* <p/>
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions are met:
* <p/>
*    * Redistributions of source code must retain the above copyright notice,
*      this list of conditions and the following disclaimer.
*    * Redistributions in binary form must reproduce the above copyright notice,
*      this list of conditions and the following disclaimer in the documentation
*      and/or other materials provided with the distribution.
* <p/>
* THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
* ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
* LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
* CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
* SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
* INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
* CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
* POSSIBILITY OF SUCH DAMAGE.
* </pre>
*/

public class DisableUrlSessionFilter implements Filter {

	/**
	 * Filters requests to disable URL-based session identifiers.
	 */
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// skip non-http requests
		if (!(request instanceof HttpServletRequest)) {
			chain.doFilter(request, response);
			return;
		}

		HttpServletRequest httpRequest = (HttpServletRequest) request;
		HttpServletResponse httpResponse = (HttpServletResponse) response;

		// clear session if session id in URL
		if (httpRequest.isRequestedSessionIdFromURL()) {
			HttpSession session = httpRequest.getSession();
			if (session != null)
				session.invalidate();
		}

		// wrap response to remove URL encoding
		HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(
				httpResponse) {
			@Override
			public String encodeRedirectUrl(String url) {
				return url;
			}

			@Override
			public String encodeRedirectURL(String url) {
				return url;
			}

			@Override
			public String encodeUrl(String url) {
				return url;
			}

			@Override
			public String encodeURL(String url) {
				return url;
			}
		};

		// process next request in chain
		chain.doFilter(request, wrappedResponse);
	}

	/**
	 * Unused.
	 */
	public void init(FilterConfig config) throws ServletException {
	}

	/**
	 * Unused.
	 */
	public void destroy() {
	}
}

 原文地址:http://randomcoder.com/articles/jsessionid-considered-harmful

「已注销」
关注
专栏目录
若依请求url中带有jsessionid解决办法
猿小白的博客
07-05 975
目录一、原因分析 二、解决方案1、首先定义一个Filter过滤器RemoveUrlJsessionIdFilter2、然后在Springboot启动类上加上@ServletComponentScan 2、然后在Springboot启动类上加上@ServletComponentScan
shiro 重定向携带 JSESSIONID 问题解决
qq_29411043的博客
06-25 4636
shiro 请求头携带错误的 token 的问题
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
js加密破解
weixin_45926804的博客
11-30 1026
某站的登入加密破解 目标网址:https://passport.bilibili.com/login?spm_id_from=333.851.b_696e7465726e6174696f6e616c486561646572.11 一、登入 F12打开调试 输入账号、密码、滑动滑块、点击登入 进入XHR开始寻找登入需要的字段,上图有 二、寻找加密位置 1、全局搜索加密字段password或者pas...
爬虫之js加密破解
weixin_46297209的博客
11-29 2741
爬虫之js加密破解 一:JS加密简介 ​ 我们爬取数据时想要破解JS加密,首先要了解什么是JS加密,它是如何加密的,了解了它的原理后我们才能迅速,准确的破解它。 (一):JS加密原理 ​ JS全称JavaScript,是一种前端语言。就如同我们学的Python一样是一门计算机语言,只不过应用领域不同而已。通过这门语言可以在前端定义函数,进行数据和逻辑的计算,这也是JS能够加密的重要原因。当我们爬取一些简单的网站时,首先是向服务器发送携带参数的url请求,服务器根据我们的请求以及参数直接返回给我们数据。而进过
请求路径上带有或出现jsessionid的处理办法
qq_39727959的博客
05-26 7198
请求路径上带有或出现jsessionid的处理办法问题示例解决办法一.新建拦截器或过滤器,项目中已有拦截器或者过滤器的,想复用也可以二.在拦截器```preHandle```方法中进行处理问题诱因 问题示例 请求路径中带有;jsessionid=xxx等字符串: 示例如下: http://localhost:8089/;jsessionid=72E275DDDD4FFC3FBDCAB91BF5108B37template/templateList?pageSize=10&pageNum=1&
WEB中SESSION盗用问题
老照片
09-06 875
WEB中SESSION盗用问题
jsessionid和jwt_前后端分离开发,跨域时jsessionid每次请求都变化的问题解决方法...
weixin_39857792的博客
12-21 1174
本解决方法的使用前提是,前端开发使用的是vue,后端使用java(SpringMVC)在前后端分离开发过程中,可能会出现因跨域而导致每次请求的jsessionid不一致的情况解决方法:前端:要在main.js入口文件中,将axios请求的withCredentials属性设置为true,如下:import axios from 'axios'axios.defaults.withCredentia...
shiro整合中登录的时候url地址栏带jsessionid的解决方式
周先森爱编程丶的博客
04-02 9544
在shiro登录完成的时候,第一次或者重启项目之后访问系统时候 浏览器地址栏会出现后缀带jsessionid,如下图: 解决方式: 1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst...
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2841
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
Session攻击手段(会话劫持/固定)及其安全防御措施
热门推荐
马学朝的博客
01-19 3万+
一、       概述        对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,为了维持
jsessionid 问题分析
我的空间,好好学习
12-05 501
jsessionid 问题分析 Posted on 2011-09-02 16:33 疯狂 阅读(1547) 评论(2) 编辑 收藏 这几天为了测试人员测试,就把一个tomcat应用整个拷贝了一份,改了下端口一个8080,一个8081,上下文也一样,结果出问题了:页面登陆验证码死活验证不过去,最后跟...
反爬虫 破解js加密-有道翻译
July_whj
08-11 3214
js 加密 有的反爬虫策略采用js对需要传输的数据进行加密处理(通常是取md5值) 经过加密,传输的就是密文,但是加密函数或者过程一定是在浏览器完成,也就是一定会把代码(js代码)暴露给使用者 通过阅读加密算法,就可以模拟出加密过程,从而达到破解 破解有道词典 1、分析有道翻译页面 用谷歌浏览器打开有道翻译http://fanyi.youdao.com/ 使用开发者工具查看翻译请...
jsessionid所引起的问题 和解决
12-13 5958
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
jsessionid
Crack The World
10-29 2万+
在服务器端,我们用惯了session.setAttribute("",userInfo)这样的一行代码,估计你很少想到:服务器与浏览器之间是如何保持会话状态的。好了,先引用一些文章的精彩片段:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x。 这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid=xxxxxxx
地址栏JSESSIONID问题
qq_32891219的博客
10-12 7980
     今天粘代码:)的过程中遇到了一个非常有意思的现象,首次登陆时浏览器URL后被追加SESSIONID      前提:项目采用shiro进行权限控制,并且设置了setLoginUrl,如图:                                                   正常启动之后在浏览器输入http://localhost:8081,应该被重定向到http:/...
jsessionid 所引起的404问题和解决方法
weixin_30344131的博客
10-17 1197
问题: 在SpringMvc使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用: response.sendRedirect(response.encodeRedirectURL(url)); 对于某些浏览器来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsessio...
ruoyi 如何去掉jsessionid
最新发布
04-30
Ruoyi是一款基于Spring Boot和Vue.js的开源企业级管理系统。它支持用户管理、角色管理、权限管理、菜单管理等功能,并且具有灵活的动态SQL查询和代码生成器,可快速构建现代化的应用程序。 在处理Ruoyi应用程序中的会话跟踪时,可能会出现JSESSIONID(Java WebSocket)等标识符。该标识符通常是服务器用于识别用户请求的唯一标识符。然而,在某些情况下,我们需要将该标识符从URL中去掉,以避免安全漏洞和提高用户体验。 要去掉Ruoyi应用程序中的JSESSIONID,您可以通过以下步骤进行: 1.在Spring Boot应用程序中,找到WebSecurityConfigurerAdapter bean的配置类,并添加一个new HttpSessionConfig类的代码。HttpSessionConfig类将配置JSESSIONID应该存储何处以及如何存在于请求和响应之间的细节。 2. 在HttpSessionConfig类中,创建一个new SessionRepositoryFilter类的实例,并将其添加到过滤器链中。SessionRepositoryFilter类将处理所有传入的HTTP请求,并确保JSESSIONID被正确处理和传回响应。 3. 修改Vue.js前端的请求路径,以避免在其中加入JSESSIONID参数。通过这种方式,Vue.js应用程序将无法访问带有JSESSIONID的路径,而是使用无状态的请求来处理用户请求。 总之,通过以上方法,您可以去掉Ruoyi应用程序中的JSESSIONID参数,提高系统的安全性和用户体验。这是一个较为简单的解决方案,但需要注意到头信息中 Set-Cookie的其它字段,例如domain和http-only等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值