个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我是 C 语言的老手,但 Java/Tomcat 的新手。
我对单独在 http 中的 Tomcat session 管理没意见。当我开始考虑切换到 https 时,我遇到了问题。
我为 Tomcat 收集的信息是,如果您想在从 http 切换到 https 再切换回 http 时保持 session ,则必须从 http session 开始。当浏览器启用 cookie 时,这对我来说很好用。
但是,当浏览器禁用 cookie 时(并且正在使用 URL 重写),然后将 http 切换到 https 或再次返回会导致每次启动新的 session 。我假设这是安全问题。
问题 1 - 是否可能/需要使用 URL 重写来维持 http 和 https 之间的 session ?
Q2 - 如果不可能,那么电子商务开发人员对非 cookie 用户会做些什么?
我不想阻止非 cookie 用户使用我的网站。我确实想要在 http 和 https 之间灵活切换。
感谢您的帮助,史蒂文。
最佳答案
使用相同的 cookie 或 URL 标记来维护 HTTP 和 HTTPS 之间的 session 似乎并不可取。
想象一下您的用户登录的情况,在电子商务网站中为每个请求/响应来回传递给定的 cookie(或 URL token )。如果中间人能够读取该 cookie,他就可以使用它登录到网站的 HTTP 或 HTTPS 变体。即使合法用户随后通过 HTTPS 执行的操作,攻击者仍将能够访问该 session (因为他也将拥有合法 cookie)。他可以看到购物车、付款方式等页面,也许还可以更改送货地址。
在 HTTP session 和 HTTPS session (如果您正在使用 session )之间传递某种形式的 token 是有意义的,但是将它们视为一个并且相同会导致一些漏洞。在仅转换的查询参数中创建一次性 token 可能是一种解决方案。但是,您应该将它们视为两个单独的经过身份验证的 session 。
此漏洞有时会发生在使用混合 HTTP 和 HTTPS 内容的网站上(某些浏览器,如 Firefox 会在发生这种情况时向您发出警告,尽管大多数人倾向于在第一次弹出时将其禁用)。您可以将 HTTPS session cookie 用于主页,但该页面通过普通 HTTP 包含公司 Logo 的图像。不幸的是,浏览器会为两者发送 cookie(这样攻击者就可以获取 cookie)。我已经看到它发生了,即使有问题的图像甚至不存在(浏览器会将带有 cookie 的请求发送到服务器,即使它返回 404 not found)。
关于url - Tomcat session 管理——url重写和从http切换到https,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3092133/
25
4
0
假设我拥有域 mydomain.com,并且我在服务器上有一个 Web 应用程序,网址为 http://99.99.99.99:1234/MyApplication/startpage.somethi
我正在尝试通过以下方式更新已解析的 URL: u, _ := url.Parse(s) if u.Scheme == "" { u.Scheme = "https" } if u.Path =
如何将 www.somesite.com/api(.*) 映射到 www.somesite.com/$1:9000? (我需要将/api 映射到运行 @ 端口 9000 的 Play 框架应用程序)
我有一个资源结构,如航类 > 座位 > 预订,所以预订属于某个航类的某个座位: http://example.com/jdf_3prGPS4/1/jMBDy46PbNc
我想知道以下网址是否有效。 路径中的点,在主机之后: http://www.example.com/v.b.w..com 主机中的点,作为子域的一部分: http://v.b.w..co.manufa
我有两个域 - crmpicco.co.uk 和 ayrshireminis.com - 如果我浏览到: www.crmpicco.co.uk/mini/new我希望能够重定向到 www.ayrshi
我正在尝试使用 URL 重写和应用程序请求路由来重写到外部 URL。我设置了以下规则: 在规则中,“patternToMatch”是我试
我已经安装了带有 SharePoint 和 Url Rewrite 模块的 IIS 7.0。 是以下句子还是我配置错误才能看到这个结果? Url Redirect 可以将 url 重定向到任何内部(在
我想知道,为了获得良好的 SEO,您必须在 URL 中使用自然语言。您知道字符中单词或短语的最大大小吗?例如: www.me.com/this-is-a-really-long-url.htm 我问这
有人知道在 SEO 友好 URL 中使用逗号有什么问题吗?我正在使用一些在其 SEO 友好 URL 中使用大量逗号的软件;但我 100% 肯定我见过一些程序/平台无法正确识别 URL 并在第一个逗号后
我有一个网站,我正在为所有链接使用干净的 URL。我想知道对于简短的基本 URL 与较长的描述性 URL 有何看法。 例如,如果我的网站是关于 Georgia Bulldog 足球新闻的,那么哪个网站
我正在编写一个类似于 tinyurl 的 URL 缩短器,我想知道如何跟踪已经使用我的服务缩短的 URL?例如,tinyurl 为相同的长 URL 生成相同的小 URL,而不管是谁创建的。如
我是 magento 的新手。我正在开发一个模块。为此,我有一些要显示链接的 css 和 js 文件。我目前有类似 的链接 getSkinUrl('module_tryouts/css/jquery.
我想基于 HTTP_URL 重写 URL 以重定向到不同的端口,同时保留其余的 URL 和查询字符串(如果指定)。例如, http://host/john/page.aspx 应该重定向到 http:
我遇到了以下问题: 我的 Grails (2.2.0) 应用程序具有以下 URL 映射: "/api/clientQuote/$labcode/$cliCode/$quoCode"(controlle
我有一个很长的 URL,它不适合 URL 字段。它一直在修剪。该怎么办?有没有办法增加 SharePoint 2010 中的 URL 字段字符限制? 或者解决方法来容纳长 URL。例如,以下 URL
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
我们从客户以前的开发人员那里继承了相当多的 Google Apps 脚本项目。 Apps 脚本通过嵌入式小部件部署在 Google 网站 (sites.google.com) 的各个页面上。每当我们需
我正在编写一些文档,但遇到了一些词汇问题: http://www.example.com/en/public/img/logo.gif 被称为“绝对”网址,对吗? ../../public/img/l
我们从客户以前的开发人员那里继承了相当多的 Google Apps 脚本项目。 Apps 脚本通过嵌入式小部件部署在 Google 网站 (sites.google.com) 的各个页面上。每当我们需
我是一名优秀的程序员,十分优秀!