个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
40
4
我正在维护一个 Java Web 应用程序。
查看登录代码,它通过 HttpServletRequest 的 getSession() 方法从 HttpServletRequest 中获取 HttpSession。 (它使用 session 中的一些值进行身份验证)
但是,我担心 session 固定攻击,所以在使用初始 session 后,我想启动一个新 session 或更改 session ID。这可能吗?
最佳答案
Servlet 3.0 API 不允许您更改现有 session 的 session ID。通常,为了防止 session 固定,您只需创建一个新的并使旧的无效。
您可以像这样使 session 无效
request.getSession(false).invalidate();
然后用
创建一个新 sessiongetSession(true)(getSession() 应该也可以)
显然,如果您想要持久化 session 中的数据,则需要将其从第一个 session 复制到第二个 session 。
注意,对于 session 固定保护,通常认为只对身份验证请求执行此操作是可以的。但是更高级别的安全性涉及丢弃旧 session 并为每个请求创建一个新 session 。
关于java - httpservletrequest - 创建新 session /更改 session ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2311429/
40
4
0
这两个人似乎在做同样的事情。谁能解释两者之间的主要区别?你什么时候使用一个与另一个? HttpServletRequest.getRemoteUser() HttpServletRequest.get
我现在尝试了很多东西,但我似乎错过了一 block 拼图。这是故事:我有一个请求范围的 bean,它从 HttpServletRequest 读取一些 SessionContext。此属性在过滤器中设
使用HttpServletRequest.login(String, String)登录后,使用以下代码,在以下请求中,我仍然会收到基本身份验证提示。为什么login函数在我的配置中不起作用? 我的终
我为 HttpservletRequest 设置路径信息,如下所示。 request.setAttribute("javax.servlet.include.path_info", pathInfo)
我在表单和请求方面遇到了这个问题。我正在使用 sencha 和 javascript 创建一个网页,该网页将表单发布到 java Web 应用程序,该应用程序从数据库中提取数据并对其进行格式化,然后再
我曾经在 JSF 2 应用程序中基于 cookie 的对话过滤器中打开 session 。现在我想建立相同的机制,但与技术无关。重用一些代码,我将其编写在扩展 OncePerRequestFilter
我从我的客户端向我的服务器发送一个 ajax 请求。 这是我传递的数据结构: data = {"key1" : "value1" , "key2" : {"subkey1": "subvalue1"
如何使用 HttpServletRequest 中的信息识别集群中的节点? 每个节点唯一的任何信息都是合适的 - 我需要它来区分日志。 最佳答案 你可以尝试获取IP和hostname // Get c
我过滤我的 REST 服务的 BasicAuth 并将用户名存储在 HttpServletRequest 中 AuthFilter相关代码 public class AuthFilter implem
我想实现一个速度工具,它提供了一种方法来查明用户是否登录。我正在使用 VelocityLayoutServlet 以便在每个请求上呈现模板。 我的 velocity-tools.xml 看起来像这样:
我正在 Spring MVC 上 Swagger 玩,运行本地 jetty ,由于某种原因得到一个 null HttpServletRequest,至少可以说这很奇怪。 这是完整的堆栈跟踪: java
Class Permission implements ContainerRequestContext { @context HttpServletRequest servletReq
我在启用双向 SSL 的 Weblogic 10.3 中运行一个 servlet。当我尝试从 HTTPServletRequest 获取以下属性时,它们都是空的: - javax.servlet.re
我已经导入了以下内容导入 javax.servlet.http.*; 我想获取首选语言的浏览器 HttpServletRequest request = ServletActionContext.ge
我想拦截过滤器/servlet 中的请求并向其添加一些参数。但是,该请求不会公开“setParameter”方法,并且在操作参数映射时会抛出一个错误,说明它已被锁定。有没有我可以尝试的替代方案? 最佳
为了测试,我想从一些预定义的数据构建 HttpServletRequest 对象,例如: GET / HTTP/1.1 User-Agent: Opera/9.80 (Windows NT 6.1;
在我的 servlet 中,req.getQueryString() 在向其发送 ajax 请求时返回 null。这是因为 req.getQueryString() 只适用于 GET 而不是 POST
我使用打印编写器直接在 servlet 中打印列表,然后打印列表。 当我尝试放入 jsp 时,列表不会打印我使用的是 JSTL 还是 scriptlet。 我尝试在 JSTL 和 scriptlet
我有一个 jsp,其中包含一个 jquery post 到我的 tomcat 服务器上的一个 servlet,它创建了一个 HttpServletRequest。我想确保只处理我的 jsp 对我的 s
我对HttpServletRequest生命对象有疑问。 request对象进入controller后是否被销毁? 最佳答案 HttpServletRequest 对象的生命周期就是:为 HTTP S
我是一名优秀的程序员,十分优秀!