- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这可能是这个问题的重复,但提出的解决方案对我们来说不可行: Protect against 3rd party callers of document.execCommand("ClearAuthenticationCache")? Clears our session cookies
长话短说:IE 有一种使用 JavaScript 清除 session cookie 的方法 - document.execCommand(“ClearAuthenticationCache”)
。这用于各种 Web 应用程序,包括 Outlook Web App(可能还有许多其他应用程序)。问题是 MS 以其无限的智慧决定这个命令应该清除所有打开站点的 session cookie(你能看出我有点苦涩吗,我花了几个月的时间才找到随机丢失的 JSESSIONID 的来源) .
我们使用 JSESSIONID 以及另一个 token 来确保用户已通过身份验证。 JSESSIONID 是安全 和httpOnly。这很好用,除非 JSESSIONID 被第三方清除。所以我的问题分为两部分:
有什么方法可以保护我的 session cookie 不受此影响(假设任何涉及客户端配置的事情,例如固定或注册表黑客,都是不可取的)?
如果没有,我是否有办法安全地从中恢复?由于 JSESSIONID 是 httpOnly,浏览器应该无法读取它,但也许有一些我没有想到的事情。
如果相关:我们使用 Tomcat 7 作为我们的网络服务器。该应用程序是一个相当复杂的 SaaS 应用程序,安全性非常重要。
谢谢大家。
最佳答案
我相信以下任一选项都可以保护 servlet session 免受 document.execCommand(“ClearAuthenticationCache”)
的影响:
你可以 set the max-age
of your JSESSIONID在你的 web.xml 中。这样您的 JSESSIONID cookie 将不再是 session cookie!这会使您的 Web 应用程序的安全性略有下降,因为 cookie 在浏览器关闭后仍然存在。
您可以完全放弃 HTTP cookie,并且 configure Tomcat to do session tracking with the SSL session ID .我自己从未实际配置过它,但我猜这比使用 JSESSIONID cookie 更安全。但是,在此配置中无法进行 session 复制。
关于session - 如何保护我的 JSESSIONID 不受 document.execCommand (“ClearAuthenticationCache” 影响)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31799488/
这是一个非常笼统的问题,我希望我能答对。 我正在研究 SSL/TLS 重新协商并已阅读了一些内容。这是我从阅读中了解到的内容: 从 SSL/TLS 重新协商的角度来看,客户端分为两个主要组,打补丁的和
第一个屏幕是艺术的细节。当我向上滚动时,标题将是 alpha。我点击另一个“艺术”到另一个细节 UI,然后按回到 Previous UI。之前的UI标题是黑色的,怎么变透明了。 布局:
想知道 mv 对基表的影响。它会减慢基表的速度吗?它什么时候开始写入 mv,就像同时写入基表和 mv 一样? 如果我有 local_quorum 的 CL 且 RF=3,客户端是否必须等到写入 mv
似乎在任何地方都找不到太多关于此问题的帮助,所以我想我会在这里尝试。 我正在尝试制作一个简单的 for 循环,当我将鼠标悬停在 html 卡上时,它会隐藏卡中的一些文本。该卡有一个简单的名字和姓氏,我
我有一个程序每帧运行 tick() 方法。我希望一个对象根据设定的重力常数下落,因此我创建了一个 Ball 对象,该对象会将其位置更新为前一帧的位置减去 y 速度。每个刻度 y 速度都会减少重力常数。
我的 KeyHandler 在这里: private void KeyHandler(java.awt.event.KeyEvent evt) {
我有一个方法,其中使用了很多其他类,包括链接列表、队列和堆栈。在我的方法中,我有一个 for 循环,我想在其中弹出堆栈(方便地命名为 s)并将队列(方便地命名为 q)出队到 s1 和 q1。由于某种原
我有一个 JTree 节点数组和另一个自定义对象的相应数组。 我想要什么:当选择 JTree 的节点时,相应对象(其数组中索引与节点数组中所选节点索引相同的对象)的字段填充 JLabels。 我被困在
我知道浏览器完成了处理客户端脚本(Javascript、JQuery 等)的所有工作,但想知道在性能方面是否还有其他重要因素(网络速度、客户端计算机速度、服务器环境) 如果它完全依赖于浏览器(类型和版
我有一个 Android 服务在后台运行,它将使用以下代码: while(true) { ServerSocket server = new ServerSocket(1234); Socke
对JQM有以下疑惑: 1.如果我们在单独的 html 文件中使用重复的 id,对 jquery mobile 有什么影响。 假设我们在单独的 html 文件中有重复的 id,但如果我们不使用该 id
我正在尝试更新两个(inventory、sold)MySQL 表的表库存。 假设我们正在处理的 sku 是 BT888-16 UPDATE inventory JOIN sold ON invento
我使用这种方法来更改我的表格单元格值, 它在 jtable 上改变但在文本文件上没有改变! public class user_AllBooks extends AbstractTableModel
我想在向表中插入数据时创建一个 MYSQL 存储过程,数据也会被插入到其他服务器表中。 我知道这在 ORACLE 数据库中是可能的,但我不知道它是否适用于 MYSQL。 有什么办法吗? 最佳答案 是的
我在 css 方面非常糟糕,只能靠 SO 答案来解决 - 但是我找不到针对这个特定问题的任何解释。 我有一个表单,其中包含一个 textarea 和一个 button(input/submit),仅此
我在一个元素上有动画,但它的移动也会影响 sibling 。如何在不影响兄弟元素的情况下仅在元素上使用动画? 问题示例: function animateSearch() { $('.glyph
我试图在我的 ViewController 中的 UIView 的所有四个边上建立一个阴影 — 在我通过 Xcode 向 UIView 添加约束之前,它工作得很好。我怎样才能使 UIView 的阴影显
自从我使用 JavaScript 以来已经有一段时间了 - 在获得证书之后我开始学习 Perl 并从那时起就一直使用它。我只是想重新开始使用 JS,我已经写了这个,我想说的是,这是一个简单的小脚本,可
我正在处理一个 HTML 元素,我添加了一个复选框,选中后会高亮显示所有文本输入字段。唯一的问题是一些输入字段在表格内,出于某种原因我无法用我的代码影响它们。任何帮助将不胜感激。 相关代码: HTML
我为 String 类创建了一个小扩展,以便方便地从中删除字符。这是它的样子: mutating func drop(characters chars: [String]) { for c i
我是一名优秀的程序员,十分优秀!