jsessionid问题解决方案

本文主要是介绍jsessionid问题解决方案，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

bigdatafish 2016-11-24 17:31

jsessionid问题解决方案

jessionid会话盗用漏洞，现在是两种方案：

1. 方案一：用户IP和用户会话绑定，目前F5代理后获取不到真实机器的IP ，

2.方案二：判断jessionid来源，如果来源URL，就做403界面重定下，拒绝访问，目前方案一获取不到IP地址，只能用方案测试。

代码如下：

package com.tydic.dbp.util;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class AuthFilter implements Filter {

private static final Logger LOGGER = LoggerFactory

.getLogger(AuthFilter.class);

public void destroy() {

}

public void doFilter(ServletRequest servletRequest,

ServletResponse servletResponse, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

String uri = request.getRequestURI();

String url = request.getRequestURL().toString();

HttpSession session = request.getSession();

String ip = IpUtils.getIpAddr(request);

Object user = session.getAttribute("tydic.dbp.user");

Object sessionIP = session.getAttribute("ip");

// SSO 放行资源是获取不到SESSION信息的，注意

String[] six = { ".swf", ".js", ".css", ".gif", ".png", ".jpg",

"/service", "dbp.jsp" };

for (String key : six) {

if (uri.indexOf(key) > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

// System.out.println("************uri" + uri);

// System.out.println("************url: " + url);

// System.out.println("************user" + user);

if (request.isRequestedSessionIdFromURL()) {

response.sendRedirect("http://134.64.106.187:8000/portal/webpoint/main/403.jsp");

return;

/*if (session != null) {

session.invalidate();

}*/

}

LOGGER.info("************sessionIp: " + sessionIP);

LOGGER.info("************clinetIp: " + ip);

if ((user == null) || (sessionIP == null) || (!(ip.equals(sessionIP)))) {

LOGGER.info(" ***************** error sendRedirect ");

response.sendRedirect("http://154.64.116.187:8000/portal/webpoint/main/403.jsp");

return;

} else {

chain.doFilter(servletRequest, servletResponse);

return ;

}

public void init(FilterConfig filterConfig) throws ServletException {

}

这篇关于jsessionid问题解决方案的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

jsessionid问题解决方案

相关文章

Vue3组件中getCurrentInstance()获取App实例,但是返回null的解决方案

Spring Boot循环依赖原理、解决方案与最佳实践(全解析)

如何解决idea的Module:‘:app‘platform‘android-32‘not found.问题

Node.js 数据库 CRUD 项目示例详解(完美解决方案)

kali linux 无法登录root的问题及解决方法

SpringBoot应用中出现的Full GC问题的场景与解决

Vuex Actions多参数传递的解决方案

MySQL 中查询 VARCHAR 类型 JSON 数据的问题记录

Pyserial设置缓冲区大小失败的问题解决

resultMap如何处理复杂映射问题