में सत्र निर्धारण को हल करने के लिए मुझे जेबॉस में चल रहे जावा वेब एप्लिकेशन में Session Fixation, एक विशेष प्रकार का सत्र अपहरण रोकने की आवश्यकता है। हालांकि, ऐसा लगता है कि मानक मुहावरे doesn't work in JBoss। क्या यह चारों ओर काम किया जा सकता है?जेबॉस
जेबॉस
उत्तर
This defect (here मिला) समाधान के रास्ते को इंगित करता है। जेबॉस में चलने वाले टोमकैट उदाहरण को "गलत" के बजाय खाली सत्रपैथ = "सत्य" के साथ कॉन्फ़िगर किया गया है, जो डिफ़ॉल्ट है। इसे .../deploy/jboss-web.deployer/server.xml
में संशोधित किया जा सकता है; HTTP और AJP कनेक्टर दोनों में यह विकल्प है।
सुविधा का उपयोग संदर्भ पथ को समाप्त करने के लिए किया जाता है (उदाहरण के लिए। "Foo" http://example.com/foo में) JSESSIONID कुकी में शामिल होने से। इसे गलत पर सेट करने से उन अनुप्रयोगों को तोड़ दिया जाएगा जो क्रॉस-एप्लिकेशन प्रमाणीकरण पर भरोसा करते हैं, जिसमें कुछ पोर्टल ढांचे का उपयोग करके निर्मित सामग्री शामिल होती है। हालांकि, सवाल में आवेदन को नकारात्मक रूप से प्रभावित नहीं किया गया था।
यह समस्या और विशिष्ट मामला जिसमें यह होता है वह टॉमकैट के साथ-साथ जेबॉस में एक समस्या है। टॉमकैट खाली सत्रपैथ = "सच" प्रभाव साझा करता है (और वास्तव में जेबॉस इसे टॉमकैट से प्राप्त करता है)।
यह वास्तव में टॉमकैट और जेबॉस में एक बग जैसा लगता है जब आप सत्र निर्धारण हमलों को रोकने की कोशिश कर रहे हैं लेकिन सर्वलेट spec (कम से कम संस्करण 2.3) वास्तव में किसी भी विशिष्ट तर्क के अनुसार JSESSIONID को परिभाषित या परिभाषित करने की आवश्यकता नहीं है। शायद इसे बाद के संस्करणों में साफ कर दिया गया है।
एक वर्कअराउंड सत्र में ग्राहक पते को स्टोर करना है। एक प्रतिक्रिया रैपर को सत्र में सेट क्लाइंट एड्रेस को मान्य करना चाहिए, जो सत्र तक पहुंचने जैसा ही है।
आपका सुझाव सामान्य रूप से सत्र अपहरण के लिए उपयोगी है, लेकिन विशेष रूप से सत्र निर्धारण को संबोधित नहीं करता है। –
मुझे चार मीटर में से एक से कोड सेटिंग स्निपेट नीचे पता चला। और मैंने लाइनों के नीचे जोड़ा। लेकिन जब मैं एप्लिकेशन में लॉग इन करने से पहले और बाद में सत्र आईडी मुद्रित करता हूं तो यह वही होता है। मैं सत्र निर्धारण का परीक्षण कैसे करूं?
डी: \ jboss-5.1.0.GA \ bin \ run.cof फ़ाइल और नीचे पंक्ति जोड़ें। सेट "JAVA_OPTS =% JAVA_OPTS% -Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = false"
- jboss एप्लिकेशन में से प्रत्येक context.xml में
। डी: \ jboss-5.1.0.GA \ सर्वर \ डिफ़ॉल्ट \ तैनाती \ jbossweb.sar \ context.xml
- 1. जेबॉस
- 2. जेबॉस
- 3. जेबॉस
- 4. जेबॉस
- 5. जेबॉस
- 6. जेबॉस 7.1.1 और जेबॉस वेब मूल
- 7. जेबॉस 4.2
- 8. जेबॉस एएस
- 9. जेबॉस 7.1
- 10. जेबॉस 4.2.3
- 11. जेबॉस सर्वर
- 12. जेबॉस 7.1
- 13. जेबॉस 7
- 14. जेबॉस सर्वर
- 15. जेबॉस समस्या
- 16. जेबॉस इंस्टेंस
- 17. जेबॉस 7.1.1
- 18. एक्लिप्स से जेबॉस
- 19. जेबॉस लेनदेन टाइमआउट सेटिंग?
- 20. जेबॉस 7: जेएनडीआई लुकअप
- 21. जेबॉस एएस 7
- 22. जेबॉस जेएमएस रिमोट कतार?
- 23. जेबॉस सत्र टाइमआउट
- 24. जेबॉस एएस 7
- 25. शुरुआती के लिए जेबॉस
- 26. वसंत बनाम जेबॉस
- 27. जेबॉस सीम डिजाइन पैटर्न?
- 28. जेबॉस एएस 6
- 29. जेबॉस: जैक्सबी डाटाहैंडलर संगतता
- 30. जेबॉस सीम ट्यूटोरियल
मैं JBoss 6.1 के साथ काम कर रहा हूँ और सिर्फ इस मुद्दे मारा। मेरे server.xml में कोई खाली सत्रपैथ विकल्प नहीं है। तो, संस्करण 6.1 के लिए यह कैसे किया जा सकता है? –
यदि कोई और दिलचस्पी लेता है, तो मुझे एक समाधान मिला। इस धागे में @ आरपी- के उत्तर की तलाश करें: http://stackoverflow.com/questions/11028145/listening-for-login-events-in-jboss-as-6 –